GIUSTIZIA INSIEME

Memoria illustrativa del Procuratore Nazionale Antimafia e Antiterrorismo sulle novità contenute nella proposta di legge AC 1822, approvata dal Senato della Repubblica il 10 aprile 2024, relativa alla modifica del codice di procedura penale in materia di sequestro di dispositivi, sistemi informatici o telematici o memorie digitali.

Reputo doveroso rassegnare le considerazioni che seguono, in ragione dell’allarme per l’efficacia delle indagini in materia di criminalità organizzata e di sicurezza cibernetica che genera la considerazione di alcuni dei contenuti della proposta di legge AC 1822, approvata dal Senato della Repubblica il 10 aprile 2024.

Come noto, la proposta legislativa in oggetto prevede una innovativa procedura per i sequestri di dispositivi e sistemi informatici o telematici, memorie digitali, dati, informazioni, programmi, comunicazioni e corrispondenza informatica inviate e ricevute (art. 254-ter c.p.p.)

Le soluzioni prefigurate per non pochi e rilevanti aspetti destano profonda preoccupazione.

Naturalmente, non è in discussione la necessità di deciso rafforzamento delle garanzie difensive, ma la capacità di individuare forme di adeguata protezione dei diritti senza minare ingiustificatamente la capacità di risposta repressiva dei più gravi fenomeni criminali.

In generale, credo di essere stato fra i primi a porre in sede parlamentare il tema di un deciso avanzamento degli equilibri fra esigenze delle indagini e diritti della persona, attraverso la previsione di nuove e più elevate garanzie individuali e della stessa funzione difensiva.

Mi riferisco alla mia audizione dinanzi alla Commissione giustizia del Senato del 31 gennaio 2023. In quella sede, infatti, sottolineavo come vi fosse:

“un evidente ritardo normativo nel prendere atto della profonda necessità di innalzamento delle garanzie legali collegate alla tutela dei dati personali che confluiscono nei sistemi digitali: un ritardo evidente, direttamente collegato al da tempo sopravvenuto rilievo eccezionale dei dati personali diversi da quelli oggetto della tradizionale captazione delle comunicazioni: ma tale da imporre, come è stato detto, “la formulazione di un nuovo apparato normativo dagli orizzonti più vasti”. La stessa nozione codicistica di “intercettazione”, intesa quale captazione clandestina dei flussi di comunicazione in atto fra due soggetti, entra in crisi nell’era digitale, non valendo ad abbracciare e disciplinare unitariamente fenomeni diversi, ma caratterizzati comunemente dalla sottrazione alla sfera di privatezza delle persone di dati di straordinario rilievo giuridico e sociale. È questo un punto cruciale per cogliere la radice di tensioni che la giurisprudenza mostra di non saper risolvere e che probabilmente non può risolvere, come dimostra la sofferenza visibile nell’impiego delle tradizionali categorie del documento e della corrispondenza per individuare la cornice normativa di attività invasive per le quali si rivela la necessità di rafforzamento delle garanzie individuali. Una sofferenza ancor più grande, perché palesemente sostenuta dalla consapevolezza che soltanto il legislatore può definire il punto di equilibrio fra efficienza delle indagini e tutela della riservatezza e delle altre libertà fondamentali; è forse giunto il momento di riconoscere che vi è un deficit di effettività del principio di legalità processuale e delle correlate garanzie difensive che può essere colmato senza pregiudizio per le esigenze di accertamento dei reati più gravi e in coerenza con l’intervento legislativo del 2017; mi riferisco alle possibilità di acquisizione occulta di chat pregresse e comunque di contenuti dei dispositivi di comunicazione telematica mediante captatore in funzione on line search o alle possibilità di ispezione, perquisizione e sequestro di archivi informatici, quali quelli contenuti anche in un semplice smartphone, derivanti dall’inquadramento giurisprudenziale di queste attività come attività “atipiche” di ricerca della prova: è giunto il momento, di “valorizzare, nel settore delle indagini digitali, il principio di proporzionalità quale parametro di legittimità per le attività investigative”… , ciò che oggi non è, se, come sovente accade, è dato sequestrare uno smartphone o altro dispositivo analogo con provvedimento adottabile procedendo per qualsivoglia reato: in ipotesi, anche per semplici contravvenzioni ovvero comunque per delitti di scarsa gravità. In pratica, si tratta di innalzare il valore del principio di libertà di comunicazione prevedendo l’intervento del Giudice e l’introduzione di rigorose condizioni di proporzionalità ed adeguatezza dell’agire investigativo, così legando l’esercizio del potere di acquisizione dei dati personali a rigidi presupposti, definiti da adeguati limiti edittali e da altre tassative specificazioni e, non ultimo, a più rigorosi e perciò controllabili oneri motivazionali; soprattutto, è necessario prevedere che i dati siano trattati come quelli delle intercettazioni, confluendo nell’Archivio delle Intercettazioni: soltanto così i dati irrilevanti a fini di giustizia potranno restare segregati e sfuggire ad ogni diffusione sterminatrice della reputazione, dell’onore e della vita delle persone.”

Dunque, non può che trovare apprezzamento una disciplina che, per non pochi versi consolidando risultati intanto conseguiti in via interpretativa dalla giurisprudenza della Corte di Cassazione, prevede che le acquisizioni dai dispositivi informatici e telematici siano distinte tra rilevanti ed irrilevanti e, per le seconde, proprio come già previsto per le intercettazioni telefoniche, se ne disponga la conservazione, con diritto di accesso solo ai soggetti interessati al procedimento e senza estrazione di copie se non attraverso una procedura governata dal giudice.

L’allarme per la sorte delle indagini che il mio ufficio ha la responsabilità di coordinare nasce da ben altro.

Una prima ragione di grave preoccupazione nasce dalla constatazione della inutile pesantezza delle procedure per l’acquisizione, in fase di indagini, dei contenuti digitali.

Infatti, il testo normativo in esame, dispone che tale attività venga svolta attraverso ben tre provvedimenti di sequestro, dei quali due disposti dal GIP ed uno dal pubblico ministero.

Si prevede infatti che si debba adottare:

a) un primo sequestro - disposto dal GIP su richiesta del PM - relativo all’intero dispositivo;

b) un secondo sequestro - disposto dal PM - sui contenuti estratti che non abbiano carattere di comunicazioni informatiche o telematiche;

c) un terzo sequestro - ancora disposto dal GIP su istanza del PM - relativo ai contenuti estratti dal dispositivo che assumano natura di comunicazioni.

A questa lunga teoria di atti si dovrà inoltre aggiungere un ulteriore sequestro - di natura preventiva, disposto dal GIP su richiesta del PM - qualora il dispositivo, una volta estratti i contenuti rilevati, non possa essere restituito, perché contenente dati o informazioni la cui detenzione integra il reato (ad esempio materiale pedopornografico), ovvero perché suscettibili di confisca obbligatoria o facoltativa all’esito del giudizio, in quanto utilizzato per la commissione del reato (come accade per il dispositivo utilizzato per commettere i reati di stalking ex art. 612-bis c.p. o di revenge porn ex art. 612-ter c.p., ma come accade anche per i gravi delitti cibernetici con riguardo a dispositivi e infrastrutture utilizzati per attacchi ad infrastrutture critiche).

Appare certo che questa proliferazione di interlocuzioni con il GIP per ogni dispositivo sequestrato, oltre a ritardare oltremodo le indagini, procurerà un aggravio insostenibile per uffici spesso onerati da ritardi superiori alla durata delle indagini preliminari nel vaglio delle richieste cautelari per indagini di criminalità organizzata.

Poco male, si dirà, se da questo passa necessariamente una più elevata tutela dei diritti individuali.

Ma forse sarebbe opportuno considerare l’impatto reale di una catena processuale così concepita.

Un duplice, anzi di regola triplice intervento del giudice delle indagini preliminari equivale ad introdurre un potente moltiplicatore dei casi di incompatibilità del giudice, insostenibile soprattutto negli uffici di minori dimensioni.

Un’architettura procedimentale così complessa per giungere alla acquisizione dei dati contenuti in dispositivi in sistemi informatici e telematici, ulteriormente appesantita nel caso in cui si tratti di estrarre contenuti comunicativi, appare sbilanciata rispetto al regime che disciplina le medesime acquisizioni di documenti in formato cartaceo anziché digitale, tanto da offrire, a chi avesse l’accortezza di documentare le proprie attività criminali solo su supporto digitale (si pensi alle scritture contabili o alle corrispondenze d’azienda) una tutela rafforzata nei confronti delle attività di indagine rispetto a chi tale scelta avveduta non abbia assunto.

Si potrebbe persino ironizzare sulla capacità del testo approvato dal Senato a divenire un vero e proprio incentivo alla digitalizzazione delle attività illecite o quantomeno della loro documentazione.  

Ma anche l’amaro sorriso dell’ironia si spegne dinanzi alla considerazione della brutalizzazione delle esigenze di contrasto della criminalità mafiosa e delle minacce alla sicurezza cibernetica che inevitabilmente deriverà da altri contenuti del disegno di legge, se approvato nella sua attuale formulazione.

Prima di considerare tali aspetti, appare doveroso, in omaggio ad elementari canoni di lealtà istituzionale, segnalare che l’eccessiva onerosità pratico-organizzativa e ordinamentale prima sottolineata potrebbe ridursi grandemente senza sacrificio per le istanze di maggior tutela delle corrispondenze acquisibili tramite analisi dei dispositivi.

Sul punto conviene dunque segnalare che il regime attualmente delineato potrebbe modificarsi prevedendo che il sequestro previsto dall’art. 1, comma 1, della proposta, relativo all’intero dispositivo, possa estendersi anche ai contenuti non comunicativi estratti all’esito dell’analisi e quindi, assorbire in sé anche l’ipotesi disciplinata al comma 12, prima parte. Al contempo, una specifica ed ulteriore valutazione, riservata esclusivamente al GIP, potrebbe riguardare i soli contenuti comunicativi ritenuti rilevanti per le indagini come già previsto dalla seconda parte dello stesso comma 12.

 

Sempre in funzione di semplificazione ed alleggerimento della procedura, si potrebbe altresì prevedere, in relazione alla disciplina dettata per la restituzione del dispositivo analizzato (cfr. comma 11 dell’articolo 1 del testo), che il sequestro originario possa essere mantenuto, con eventuale reiezione dell’istanza di parte volta alla restituzione, in tutti i casi nei quali il dispositivo possa essere oggetto di confisca facoltativa o obbligatoria all’esito del giudizio e nei casi in cui contenga dati o programmi dei quali sia vietata la detenzione. 

Operando queste modifiche si potrebbe ricondurre l’intera disciplina in una dimensione di sostenibilità, senza alcun nocumento oggettivo ai diritti di libertà ed inviolabilità delle comunicazioni private che si intende qui tutelare.

 

Il barocco nell’arte ha prodotto capolavori straordinari, ma nell’amministrazione della giustizia le architetture normative che ne imitano la tendenza alla sovrabbondanza formale possono generare effetti disastrosi.

Non soltanto nella dimensione processuale nazionale.

L’introduzione del nuovo regime produrrà conseguenze non di certo positive anche sulla rapidità e sull’efficacia della cooperazione giudiziaria internazionale.

In relazione alla domanda di cooperazione degli altri Stati, la laboriosità delle procedure di sequestro e successive analisi dei dispositivi produrrà certamente un significativo allungamento dei tempi di risposta della giustizia italiana, ciò che risulterà insopportabile con riferimento a quelle indagini, prime tra tutte quelle relative ai crimini informatici, che richiedono una assoluta speditezza al fine di non disperdere l’utilità dei dati investigativi che si vanno acquisendo.

Ad esempio, l’acquisizione di un indirizzo IP, fondamentale per giungere all’individuazione degli autori del crimine, diverrà inutile se conseguita oltre i termini di data retention differenti da Stato a Stato e fino ad ora non disciplinati uniformemente da un testo sovranazionale.

Per non parlare, poi, nel caso di esecuzione di un provvedimento di sequestro disposto dalla A.G. estera di un server in Italia, della necessità di effettuare, con le modalità della consulenza tecnica irripetibile, la copia forense, così “vincolando” gli ordinamenti esteri a “subire” macchinosi e defatiganti procedimenti, per mettere a disposizione un device, che, ad oggi, verrebbe consegnato in tempi rapidi.

Si pensi, soltanto, alla necessità di:

a) notificare gli avvisi, ovviamente da tradurre, anche all’estero;

b) nominare degli interpreti, ove gli interessati esteri intendano partecipare al conferimento dell’incarico.

Ancor più difficile sarà poi giungere ad una acquisizione di e-evidence all’estero che risulti all’esito utilizzabile nel processo italiano.

Infatti, la Corte di Giustizia e la giurisprudenza nazionale stabiliscono che, ai fini dell’utilizzabilità, le modalità di acquisizione adottate all’estero non devono essere meno garantite di quelle previste dal diritto interno per la gestione di situazioni analoghe (Corte Giust. UE Grande Sez. 6 ottobre 2020, C-511/18).

Non vi è dubbio che una procedura come quella in esame non abbia analogie con altre discipline straniere.

Sulla sorte reale delle prospettive della cooperazione internazionale peserà grandemente altresì la disposizione - dell’intrinseca irragionevolezza della quale si dirà oltre - dell’art. 1, comma 14, relativa ai limiti di utilizzabilità delle acquisizioni dei contenuti digitali.

Di fatto, per tale via si disperderanno i vantaggi dell’acquisizione di prove legalmente assunte negli ordinamenti di altri Stati, connessi alla possibilità di estendere gli effetti della richiesta di cooperazione giudiziaria a procedimenti diversi e per reati diversi.

Oggi, se una Autorità giudiziaria estera - in esecuzione di una commissione rogatoria o di un ordine di indagine europeo - consegna un device sequestrato in quello Stato, senza apporre condizioni sull’utilizzo processuale, l’Autorità giudiziaria italiana può ben utilizzare il contenuto, anche per reati diversi da quello per cui si procede e ben può mettere a disposizione quella memoria digitale anche di altre autorità giudiziarie ove emergano nuovi e diversi reati di competenza di altri uffici.

Domani, ove approvato nella sua attuale formulazione il testo in esame, viceversa, l’Autorità giudiziaria italiana, senza che vi siano condizioni apposte da quella estera, sarà costretta all’utilizzo del materiale di prova faticosamente per le sole fattispecie di reato per cui già procedeva, salvo a reiterare la medesima domanda, con inutile dispendio di tempo e risorse, in ogni ulteriore procedura interna.

Naturalmente, pur in mancanza dei limiti propri delle clausole di specialità del diritto internazionale penale, ben può il legislatore ancorare l’utilizzabilità dei dati acquisiti a parametri corrispondenti a fondamentali principi di proporzionalità e adeguatezza delle soglie di tutela.

Ma proprio per questa via si giunge al vero punto di crisi dell’intero sistema delle indagini in materia di criminalità organizzata e cybercrime generato dall’impianto normativo prefigurato.

Come accennato, il disegno di legge prevede al comma 14 dell’art. 1 l’applicazione di varie disposizioni codicistiche, fra le quali quelle di cui all’art. 270 c.p.p., dettate in tema di utilizzazione delle intercettazioni in altri procedimenti.

Secondo tali disposizioni, i risultati delle acquisizioni non saranno utilizzabili in procedimenti diversi, salvo che risultino rilevanti e indispensabili per l’accertamento di delitti per i quali è obbligatorio l'arresto in flagranza.

La stessa, gravemente pregiudizievole disciplina introdotta dal legislatore del 2023 per le intercettazioni, ma con incalcolabili effetti ingiustificatamente nocivi per la tenuta dell’azione di contrasto dei più gravi fenomeni criminali.

Quale sarà questo disastroso impatto, si fa presto ad indicare, passando in rapida rassegna il dettato dell’art. 380 c.p.p., per verificare quali siano alcuni dei delitti rispetto ai quali la documentazione informatica acquisita non costituirebbe più prova in altri procedimenti:

- art. 256 c.p. (procacciamento di notizie segrete concernenti la sicurezza dello Stato)

- art. 314 c.p.: peculato, anche se aggravato dalla finalità di agevolazione di organizzazioni mafiose o commesso avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- artt. 316-bis e 316-ter c.p., delitti di malversazione di erogazioni pubbliche e indebita percezione di erogazioni pubbliche, disposizioni queste che sanzionano condotte di chi rispettivamente destini risorse pubbliche per finalità diverse per le quali sono state erogate e di chi riceva contributi, sovvenzioni, finanziamenti dallo Stato presentando documenti falsi o atti equipollenti, anche se aggravati dalla finalità di agevolazione di organizzazioni mafiose o commessi avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 318, 319, 319-ter, corruzione, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 321 c.p., corruzione in atti giudiziari, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose (eccettuato il caso, assai raro, di fatto da cui deriva una ingiusta condanna superiore ad anni cinque di reclusione);

- art. 326 c.p.: rivelazione di segreto di ufficio, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- artt. 353 e 353-bis c.p., in tema di turbata libertà degli incanti e turbata libertà di scelta del contraente, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 356 c.p., frode nelle pubbliche forniture, anche aggravata dalla finalità agevolatrice di mafia o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- artt. 378 e 379 c.p., delitti di favoreggiamento personale o reale, anche se aggravati dalla finalità di agevolazione di organizzazioni mafiose o commessi avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 386 c.p., procurata evasione, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 390 c.p., procurata inosservanza di pena, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 391-ter c.p., introduzione indebita di cellulari e altri dispositivi idonei a effettuare comunicazioni in istituti penitenziari, anche aggravato dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 415-bis c.p., rivolta all’interno di un istituto penitenziario, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 416 c.p., direzione, organizzazione e partecipazione ad associazioni per delinquere, anche se aggravate dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 416, comma 6, c.p., direzione, organizzazione e partecipazione ad associazioni per delinquere finalizzate alla commissione di reati in materia di immigrazione illegale, salvo che il reato non sia aggravato dalla finalità di reclutare persone da destinare alla prostituzione o comunque allo sfruttamento sessuale o lavorativo ovvero riguardi l’ingresso di minori da impiegare in attività illecite al fine di favorirne lo sfruttamento ovvero dalla finalità di trame profitto, anche indiretto;

- art. 416 c.p., direzione, organizzazione e partecipazione ad associazione per delinquere finalizzata alla commissione di reati in materia di contraffazione di marchi, segni distintivi, brevetti, modelli e disegni nonché di introduzione nello Stato e commercio di prodotti con segni falsi, anche se aggravate dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 416 c.p., partecipazione ad associazione criminosa diretta a commettere reati di sfruttamento sessuale di minori, compresa la violenza sessuale ai danni di minori degli anni diciotto;

- art. 452-quaterdecies c.p., attività organizzate per il traffico illecito di rifiuti, anche se si tratta di rifiuti ad alta radioattività e se aggravate dalla finalità di agevolazione di organizzazioni mafiose o commesse avvalendosi delle condizioni di cui all’art. 416-bis c.p.

- art. 517-quater c.p., contraffazione di indicazioni geografiche o denominazione di origine dei prodotti agroalimentari, anche se aggravata dalla finalità di agevolazione di organizzazioni mafiose;

- art. 600-quater c.p., detenzione di materiale pedopornografico;

- art. 612-ter c.p., diffusione illecita di immagini o video sessualmente espliciti (c.d. revenge porn);

- art. 615-ter c.p., accesso abusivo ad un sistema informatico o telematico, anche se commesso da pubblico ufficiale o da incaricato di pubblico servizio o quando dal fatto derivi la distruzione o il danneggiamento dei sistemi, anche se di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico;

- artt. 648-ter e 648-ter c.p., delitti di riciclaggio e di impiego in attività economiche e finanziarie di beni e altre utilità provenienti da delitto;

- delitti di detenzione e porto di un’arma comune da sparo, anche se aggravati dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 86 d.lgs. 26 aprile 2024, n. 141, direzione, organizzazione e partecipazione ad associazione per delinquere finalizzata al contrabbando di tabacchi lavorati esteri, anche se aggravate dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- tutti gli altri numerosi delitti che, se pur commessi con finalità di agevolazione mafiosa ovvero avvalendosi delle condizioni di cui all’art. 416-bis c.p., non abbiano soglie edittali tali da rientrare nel novero di quelli suscettibili di arresto obbligatorio in flagranza.

Tali indicative esemplificazioni offrono misura visibile del sacrificio delle istanze di contrasto dei fenomeni criminali ai quali si riferiscono.

Naturalmente, si tratta di materia tipicamente affidata alla responsabilità politica propria dell’attività legislativa, ma della quale appare doveroso far risaltare gli effettivi contorni più chiaramente di quanto riesca a rendere la tecnica del rinvio alla disposizione che regola l’utilizzabilità delle intercettazioni in altri procedimenti mediante ulteriore rinvio alla disciplina dei casi di arresto obbligatorio nella flagranza del reato.

È appena il caso di sottolineare che anche le medesime limitazioni alla circolazione della prova acquisita mediante intercettazioni di così gravi delitti o, per lo meno, in ogni caso, di quelli commessi al fine di agevolare le associazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p. introdotte nella conversione del d.l. 90/2023 meriterebbero nuova e più attenta considerazione, per il loro disastroso impatto sulla sorte delle indagini in materia di criminalità organizzata.

Ma è del tutto evidente che la riproduzione di quelle medesime limitazioni all’acquisizione dei dati digitali contenuti in dispositivi e sistemi informatici e telematici appare destinata ad ingigantirne la portata paralizzante delle investigazioni, anche in materia di criminalità organizzata, che la realtà impone invece di proiettare verso le strutture e le attività criminali che ormai trovano nello spazio virtuale la loro ordinaria dimensione, a partire da quelle che si nutrono di criptovalute o ormai si svolgono nel metaverso.

Si tenga in considerazione il dato per cui l’art. 270 c.p.p. è una disposizione dettata a tutela delle garanzie di cui all’art. 15 Cost. (cfr. Corte costituzionale, sentenza n. 63 del 1994).

In altri termini, vi è una precisa necessità, di rilievo costituzionale, secondo la quale il decreto del giudice non deve divenire una sorta di autorizzazione in bianco, in forza della quale i risultati delle intercettazioni possano circolare liberamente al di fuori del recinto processuale in cui essi sono stati acquisiti.

Ma questa esigenza non pare riconoscibile nel caso in esame, nel quale la prova acquisita è costituita da documenti informatici, che vengono appresi in un’unica soluzione, nel rispetto di principi di pertinenza e di proporzionalità.

Un’acquisizione che, secondo il nuovo statuto processuale, è ben più articolata rispetto alle stesse attività in materia di intercettazione, atteso che sono previsti fino a tre diversi decreti dell’autorità giudiziaria, tutti ancorati alla necessità di scrutinio della sussistenza di rigorosi presupposti.

La scelta prefigurata attraverso l’espresso richiamo all’art. 270 del codice di rito non sembra giustificata. Certamente non lo è nella dimensione accolta nel testo approvato dal Senato.

In primo luogo, il richiamo alla citata disposizione pare esteso sia ai contenuti di natura comunicativa che a quelli di natura non comunicativa, rinvenuti nei dispositivi sequestrati.

Ma soltanto, i primi possono essere latamente assimilabili ai contenuti di una captazione; i secondi vanno comunque equiparati a meri documenti digitali.

Non è dato comprendere la ragione per la quale le esigenze di tutela della riservatezza delle comunicazioni debbano meccanicamente estendersi a un ambito del tutto avulso dal concetto di comunicazione.

In secondo luogo, attesa l’applicabilità dell’intero complesso normativo non solo agli smartphone, ma a qualsiasi dispositivo o sistema telematico caduto in sequestro, ne consegue che, rispetto, ad esempio, a un server, che ha l’ordinaria funzione di acquisire e trasmettere dati, qualsiasi elemento informatico in esso contenuto subirebbe lo stesso limitato regime di utilizzazione, producendo un effetto assolutamente abnorme.

Peraltro, che tale sistema di ridotta circolazione sia esorbitante anche rispetto agli obiettivi di tutela che il legislatore intende perseguire con questa riforma lo si desume dal raffronto con la recente disciplina della acquisizione dei dati del traffico telefonico.

Si rammenti in proposito che la Corte costituzionale (sentenza n. 170/2023) ha evidenziato la natura comunicativa dei cd. tabulati, affermando come “non possa ravvisarsi una differenza ontologica tra il contenuto di una conversazione o di una comunicazione e il documento che rivela i dati estrinseci di queste, quale il tabulato telefonico…”. E tuttavia, la recente modifica del regime di acquisizione dei tabulati telefonici, pur prevedendo l’intervento del giudice, come intende fare oggi il legislatore, non ha in alcun modo limitato l’utilizzazione probatoria dei risultati acquisiti ai sensi dell’art. 270 c.p.p.

Non vi è dubbio che il raffronto tra le due discipline rende evidente la irragionevolezza delle limitazioni di natura investigativa che si intendono introdurre oggi, attraverso il disegno di legge in esame.

Si rischia, all’evidenza, un pericoloso arretramento dell’azione di contrasto della criminalità mafiosa, in sostanziale spregio dell’impegno, asseritamente da tutti inteso come prioritario e inderogabile, a non indebolire gli strumenti investigativi utilizzabili per arginare la pericolosità di gruppi criminali che hanno ormai nello spazio virtuale il loro fondamentale cardine organizzativo.

In ogni caso, quand’anche si volesse mantenere la limitazione alla circolazione dei dati acquisiti in altri procedimenti al fine di non depotenziare il contrasto alla criminalità organizzata e alle minacce di natura cibernetica, sarebbe necessario prevedere che detto divieto di utilizzo non si applichi per tutti i reati di cui all’art. 51, comma 3-bis e 3-quater, c.p.p. e a quelli previsti nell’art. 371-bis, comma 4-bis, c.p.p.

In modo del tutto omogeneo con quanto già previsto in altra parte dell’articolato (art 254-ter, comma 10, c.p.p.), dove ci si è premurati di porre una apposita deroga processuale anche per i reati anzidetti, altrimenti svuotata di gran parte del suo reale valore.

Le considerazioni fin qui svolte non esauriscono i profili di criticità dei contenuti del disegno di legge, dovendo riservarsi le ultime osservazioni agli aspetti di maggiore ed ingiustificato appesantimento procedurale.

Il testo della novella prevede altresì che “Nel corso delle indagini preliminari, il giudice per le indagini preliminari, a richiesta del pubblico ministero, dispone con decreto motivato il sequestro di dispositivi e sistemi informatici o telematici o di memorie digitali, necessari per la prosecuzione delle indagini in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto del criterio di proporzione. Il decreto che dispone il sequestro è immediatamente trasmesso, a cura della cancelleria, al pubblico ministero, che ne cura l’esecuzione.”

Appare, invero, assai discutibile la delimitazione delle condizioni del sequestro dei dispostivi o sistemi informatici necessari per la prosecuzione delle indagini attraverso la formula “in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta”.

Quid iuris, infatti, qualora il sequestro sia necessario non tanto per individuare le circostanze e di tempo e di luogo del fatto o per definire le modalità della condotta criminosa, ma per identificare gli autori del fatto?

Si pensi al caso in cui dall’utilizzo di videoriprese sia possibile definire, in termini di certezza assoluta, le circostanze di tempo e di luogo del fatto reato per cui si procede (ad esempio una rapina) e le modalità della condotta criminosa (due persone armate e travisate), ma non sia possibile identificare gli autori del fatto e questa identificazione necessiti anche dell’acquisizione di un device che possa contenere elementi utili per l’identificazione (videoriprese di sopralluoghi sui luoghi effettuati nei giorni precedenti).

L’identificazione degli autori non sembra possa ricomprendersi nel concetto di modalità della condotta, se non attraverso un’applicazione analogica della norma, come tale contrastante con il principio secondo il quale disposizioni eccezionali non possano essere applicate oltre i casi e i modi previsti dalla legge.

Ed ancora: se si vuole verificare se i soggetti indiziati di una determinata rapina ne abbiano commesse altre, il sequestro non sarebbe parimenti possibile, poiché non sono individuate le circostanze di tempo e di luogo dei fatti che radicano l’esigenza di proseguire le indagini.

Parimenti per identificare i fornitori di un ingente carico di stupefacenti ovvero gli autori di reati informatici, laddove siano già acclarate le modalità fattuali, i tempi e luoghi della attività criminosa.

Qualora il fatto sia esattamente ricostruito nella sua dinamica spazio/temporale e siano stati identificati gli autori, inoltre, può certamente accadere che il sequestro del dispositivo rivesta una indubbia utilità per rafforzare la piattaforma indiziaria acquisita a carico degli indagati.

In questo caso come conciliare le finalità di rafforzamento indiziario con le strettoie della disciplina normativa?

Proprio al fine di evitare queste difficolta, il legislatore del 1988, disciplinando all’art. 267 c.p.p. i presupposti a fronte dei quali è possibile autorizzare operazioni di intercettazione telefonica ed ambientale, ha stabilito che le stesse siano possibili qualora assolutamente indispensabili (o quantomeno necessarie per i reati ricompresi nell’art. 13 d.l. 152/1991) ai fini della prosecuzione delle indagini, senza ulteriori limitazioni.

In altre parole, per le intercettazioni, strumento questo ben più invasivo del sequestro di apparecchi informatici, la legge si limita a prevedere il requisito della assoluta indispensabilità ai fini della prosecuzione delle indagini, che, se da un lato, appare più rigoroso in termini generali (assoluta indispensabilità ai fini della prosecuzione delle indagini, rispetto a necessità per la prosecuzione delle indagini), dall’altro, però non indica in maniera espressa quali siano le esigenze che il mezzo di ricerca della prova mira a soddisfare.

Si segnala, pertanto, l’opportunità di eliminare dalla proposta di formulazione dell’art. 254-ter, comma 1, c.p.p. la dizione “in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta”, sostituendola con quella: necessari per la prosecuzione delle indagini,

Appare, infine, doveroso rimarcare ulteriori aspetti critici.

Il dovere di assicurare il preventivo contraddittorio nella formazione della copia forense (art 254-ter, comma 6, c.p.p.) può risultare potenzialmente foriero di indebita dilatazione dei tempi di trattazione dei procedimenti e di aggravio di adempimenti, dovendosi notificare alle parti la data e l’ora del conferimento di incarico.

Ulteriori difficoltà operative il sequestro incontrerebbe allorquando debba essere effettuato in esecuzione di domande di assistenza internazionale, atteso che le notifiche dovrebbero essere fatte anche all’estero, previa traduzione degli avvisi nella lingua conosciuta dai soggetti cui devono essere notificati gli stessi. Non vi è dubbio che il rispetto di questa macchinosa procedura potrebbe creare non pochi ostacoli alla tempestiva risposta alla richiesta di assistenza formulata dalla autorità estera.

In particolare, al sesto comma dell’art. 254-ter c.p.p. si prevede, inoltre, che, entro 5 giorni dal deposito del verbale di sequestro, abbia inizio la procedura di formazione della duplicazione del contenuto del materiale informatico sequestrato attraverso la creazione di una copia immodificabile.

Giova, ai fini critici che si intende rassegnare, descrivere la scansione essenziale della relativa procedura:

a) avviso alle persone sottoposte a indagini, ai soggetti ai quali sono stati sequestrati i supporti, a quelli che avrebbero diritto alla restituzione e alle persone offese del giorno, delle modalità di conferimento dell’incarico di consulenza tecnica, mutuando dalla disciplina dell’art. 360 c.p.p.;

b) possibilità di duplicare anche dati, informazioni e programmi accessibili da remoto dal dispositivo in sequestro;

c) facoltà per le parti di nominare propri consulenti, di partecipare allo svolgimento delle operazioni e di formulare osservazioni e riserve;

d) restituzione dei supporti all’esito della formazione della copia forense, salvo che il sequestro sia stato disposto a fini preventivi.

Il disegno di legge opportunamente prevede delle deroghe alle disposizioni dettate dai commi 6, 7 e 8, laddove si proceda in relazione ai delitti previsti dagli artt. 406, comma 5-bis, c.p. e 371-bis, comma 4-bis c.p.p., ovvero quando ci sia il pericolo per vita o l’incolumità di una persona, per la sicurezza dello Stato, ovvero pericolo di concreto pregiudizio per le indagini in corso, o un pericolo attuale di cancellazione dei dati o delle informazioni.

In sostanza, negli anzidetti casi non è previsto il contraddittorio sulle modalità di duplicazione dei supporti, salva ovviamente l’osservanza di cautele per garantire che la copia formata sia conforme all’originale e sia ovviamente immodificabile.

Nonostante la clausola semplificatrice prima richiamata, l’impianto procedurale prefigurato appare oltremodo macchinoso e pregiudizievole per l’efficacia delle indagini.

Si pensi alla difficoltà ed alle lungaggini che derivano dalla necessità di procedere alla comunicazione dell’avviso di fissazione del conferimento dell’incarico di duplicazione, qualora il procedimento risulti iscritto a carico di numerosi indagati, alcuni dei quali magari residenti all’estero (si pensi, a meso titolo di esempio, ad articolati procedimenti penali in tema di criminalità economica transazionale, o in materia di riciclaggio transazionale o ancora di immigrazione clandestina), procedura che determina una inevitabile dilatazione dei tempi, difficilmente compatibile con i rigorosi termini delle indagini preliminari.

O ancora ai procedimenti penali con una pluralità di persone offese (ad esempio truffe a danno di un numero elevato di persone), alle quali è necessario dare avviso della data di fissazione del conferimento dell’incarico.

A fronte di queste ipotesi, tutt’altro che remote, la deroga prevista dall’art. 254-ter, comma 10, appare difficilmente applicabile, con il concreto rischio che le procedure di comunicazione dell’avviso consumino totalmente i termini di indagine preliminare.

Si tenga conto che la procedura proposta nella novella legislativa è parzialmente sovrapponibile a quella prevista dall’art. 360 c.p.p.

Bisogna però ricordare che la procedura ex art. 360 c.p.p. costituisce una eccezione alla procedura ordinaria di accertamento tecnico, cioè quella disciplinata dall’art. 359 c.p.p., come tale applicabile solo in caso in cui l’accertamento “riguardi persone, cose o luoghi il cui stato è soggetto a modificazione”.

Non si comprende, in altre parole, perché a fronte di un accertamento tecnico, la duplicazione forense del contenuto del device, che attiene ad un oggetto che non presenta alcun rischio di modificazione (il dispositivo, infatti, è sotto sequestro e, qualora ricorra il rischio di sua modificazione o cancellazione, è possibile optare per la procedura semplificata ex comma 10) si debba seguire una procedura articolata, complessa, complicata e del tutto contraria alle naturali esigenze di speditezza investigativa.

Se la garanzia per tutte le parti processuali è costituita da quanto previsto dal successivo comma 9, a norma del quale “La duplicazione avviene su adeguati supporti informatici mediante una procedura che assicuri la conformità del duplicato all’originale e la sua immodificabilità” allora è difficile comprendere i motivi che inducono il legislatore a fare ricorso per la mera duplicazione forense (che si ricorda è solo un procedimento tecnico) ad una procedura complicata e che non fornisce garanzie di sicurezza maggiori rispetto a quella ordinaria.

Si rammenti che la formazione della cd. copia forense è considerata dalla Corte di cassazione una procedura che non richiede il contraddittorio anticipato.

Questo perché si tratta di attività meccaniche, che non richiedono alcuna complessa elaborazione intellettuale da parte dell’ausiliario del PM (cfr. Cass., Sez. II, 07/02/2023, n. 17984).

In conclusione, una procedura come quella prefigurata è destinata a creare un notevole e inutile appesantimento delle attività investigative, senza correlativo, reale rafforzamento delle garanzie.

Infine, va segnalato che il comma 12 dell’art. 1 del disegno di legge, nel regolare le attività consequenziali alla formazione della copia forense, detta prescrizioni che destano non poche perplessità.

Come detto, il sequestro informatico viene autorizzato dal GIP con decreto motivato, in relazione alla necessità di proseguire le indagini in relazione a circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto del principio di proporzionalità.

Quindi, l’acquisizione del “contenitore” informatico presuppone un controllo giurisdizionale che, oltre a vagliare la ricorrenza del fumus del reato, deve altresì scrutinare le esigenze investigative poste a fondamento della mozione del pubblico ministero.

Se questo è il quadro, non appare comprensibile la esigenza che il PM emetta un provvedimento di sequestro, all’esito delle analisi del materiale informatico, su quelle informazioni, dati e programmi strettamente pertinenti al reato in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto del principio di proporzionalità.

L’irragionevolezza di ciò si può cogliere se si correla quella previsione sia con la disciplina generale dei sequestri che con quella delle intercettazioni.

Infatti, laddove il pubblico ministero emetta un decreto di perquisizione e contestuale sequestro di quanto eventualmente rinvenuto, non è dato sapere a monte che cosa nello specifico verrà reperito nella disponibilità del soggetto attinto dal mezzo di ricerca della prova.

Però, una volta eseguito il provvedimento e reperito materiale pertinente con il provvedimento, non è necessario un nuovo decreto.

Si pensi al caso di una indagine nei confronti di un indiziato di pedofilia:

a) se il PM dispone perquisizione e sequestro, nel caso di reperimento di foto e altra documentazione fisica (bigliettini, lettere, manoscritti) che dimostrino il tema di accusa, non deve procedere a nuovo sequestro;

b) se il PM chiede al GIP la emissione di un sequestro informatico e vengono trovate le stesse foto, gli stessi bigliettini, lettere e manoscritti nella memoria del telefono (poiché esse erano state scansite ovvero fotografate e poi conservate nell’archivio del supporto), deve procedere a un nuovo sequestro, peraltro con presupposti non previsti per il sequestro fisico (stretta pertinenza con il reato, in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto dei criteri di proporzionalità e necessità).

Vi è poi un’altra considerazione.

Si è detto che il sequestro informatico presuppone uno scrutinio giurisdizionale in punto di fumus e di esigenze investigative.

Alla stessa stregua, mutatis mutandis, del regime delle intercettazioni, nel quale il mezzo di ricerca della prova presuppone un vaglio del giudice che procede.

Ebbene, nel caso delle intercettazioni, all’esito delle analisi effettuate dalla polizia giudiziaria, non viene emesso alcun provvedimento di sequestro del materiale pertinente al tema di prova (le tracce audio, video e telematiche rilevanti).

Semplicemente, il PM utilizza quel materiale a fini cautelari e, al momento antecedente all’esercizio dell’azione penale (avviso 415-bis c.p.p.; richiesta di giudizio immediato), deposita un elenco di tracce informatiche rilevanti, acquisendo dall’archivio riservato, atti giudiziari (decreto intercettivi e mozioni) e di polizia giudiziaria (annotazioni e informative), che afferiscano le tracce telematiche di cui all’elenco.

Tutto ciò, senza fare alcun provvedimento di sequestro.

Peraltro, il giudizio di rilevanza delle tracce intercettive non prevede alcuna stretta pertinenza al reato in relazione “alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto dei criteri di necessità e proporzione”.

È sufficiente che vi sia un legame funzionale tra il materiale intercettivo e il reato per cui si procede, evitando inutili moltiplicazioni di adempimenti formali privi di reale idoneità a porsi a presidio dei diritti delle persone coinvolte nelle indagini,

Infine, qualche riflessione merita il riferimento ai presupposti in base ai quali il giudice può disporre il sequestro di dati inerenti a comunicazioni, conversazioni o a corrispondenza informatica inviata o ricevuta, presupposti che secondo la norma sono i seguenti;

- stretta pertinenza al reato in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta.

- limiti di ammissibilità di attività di intercettazione (art. 266 c.p.p.);

- presupposti dell’attività di intercettazione (art. 267, comma 1, c.p.p.).

Ne deriva che tutti gli elementi comunicativi rinvenuti all’interno di device sequestrato non potranno essere utilizzati qualora:

- attengano a fatti reato per cui non è ammissibile l’attività di intercettazione telefonica/ambientale;

- oppure, anche se relativi a fatti reato per cui è possibile l’attività di intercettazione, non sussistano gravi indizi della commissione del reato per cui si procede e l’acquisizione non sia assolutamente indispensabile alla prosecuzione delle indagini (salva la diversa disciplina prevista per i procedimenti per cui è applicabile l’art. 13 DL 152/91).

La conseguenza è del tutto evidente.

Per certe tipologie di reati per i quali non sussistono i limiti edittali di pena previsti dall’art. 266, comma 1 c.p.p., (pena della reclusione superiore nel massimo a cinque anni, salvo alcune limitate deroghe) si rischia di creare una sorta di inespugnabile cassaforte , al cui interno collocare dati cd. comunicativi che non potranno mai essere acquisiti in quanto relativi a reati puniti con la semplice pena dell’ammenda, della multa, dell’arresto o, infine, della reclusione, inferiore o corrispondente nel massimo a cinque anni.

Gli esempi sono molteplici e tutti facilmente declinabili.

Si pensi, ad esempio, a tutte le fattispecie di reati che così profondamente agitano la nostra sensibilità e incidono sulle nostre comunicazioni sociali, tra cui tutte le fattispecie di truffa, magari ai danni di persone fragili, (art. 640, comma 2, c.p.) o ai reati di accesso abusivo ai sistemi informatici (art. 615 ter, comma 1, c.p.) e frode informatica (anche nella fattispecie aggravata di cui all’art. 640 ter, comma 2, c.p.), oppure alla maggior parte dei reati tributari posti a presidio di primari interessi economici dello Stato (artt. 3, 4 e 5 d.lgs.. 74/2000); ed ancora a tutti i reati societari (2621 c.c. e seguenti), ai reati colposi tra cui il disastro colposo), ai reati posti a tutela del delicato lavoro svolte delle forze dell’ordine (art. 336 e 337 c.p.) per finire al reato che tutela le nostre frontiere, quello di favoreggiamento dell’immigrazione clandestina (art. 12, comma 5 e 5-bis, d.lvo 286/98). Ma gli esempi potrebbero continuare all’infinito.

Così come infinite appaiono le possibilità che una riforma di questa portata, nei limiti descritti, possa, al di là di ogni lodevole intenzione, determinare l’apertura di pericolosi spazi di sostanziale impunità di gravi fenomeni criminali.

Una conclusione tanto amara quanto realistica, in mancanza di necessarie correzioni.

Appalti pubblici e cybersicurezza. La disciplina speciale dell’acquisto di beni e servizi informatici nei settori sensibili dopo il DPCM 30 aprile 2025

di Simone Francario

Sommario: 1. Introduzione; 2. La disciplina generale codicistica sugli appalti pubblici dei beni e servizi informatici; 3. La disciplina speciale dettata dal DPCM 30 aprile 2025; 3.1 La collocazione degli appalti pubblici di beni e servizi informatici, disciplinati dal DPCM 30 aprile 2025, nell’ambito della sistematica della disciplina codicistica; 3.2 La partecipazione degli operatori economici extra-UE agli appalti pubblici di beni e servizi informatici disciplinati dal DPCM 30 aprile 2025, con particolare riferimento ai casi di tutela della sicurezza nazionale; 4. Osservazioni conclusive

1. Introduzione

Lo scorso 5 maggio 2025 è stato pubblicato in Gazzetta Ufficiale il DPCM 30 aprile 2025 recante “Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale”, il quale introduce una disciplina specifica per l’acquisto, da parte della p.a., di beni e servizi informatici essenziali in settori sensibili, prevedendo importanti misure di cybersicurezza[i].

Si tratta, in particolare, di contratti pubblici aventi ad oggetto tecnologie critiche -come infrastrutture di rete, software di sicurezza, sistemi di videosorveglianza e gestione dell’accesso, piattaforme cloud e storage, strumenti di identificazione e comunicazione- destinati ad essere utilizzati in ambiti di primaria rilevanza per la vita e la sicurezza dello Stato e delle sue articolazioni.

Tale intervento si colloca all’interno di un più ampio disegno istituzionale volto al rafforzamento della resilienza cibernetica dello Stato[ii].

Negli ultimi anni, infatti, non solo a livello nazionale, ma anche a livello europeo[iii] e globale, si è progressivamente affermata la consapevolezza che la sicurezza nazionale non può più essere garantita esclusivamente con strumenti di difesa tradizionali, ma richiede anche un controllo attivo e consapevole degli strumenti tecnologici utilizzati dalla p.a.

Nell’ordinamento italiano, ad esempio, la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN)[iv], l’adozione della Strategia nazionale di cybersicurezza[v] 2022-2026, le misure normative in tema di Perimetro di sicurezza nazionale cibernetica (PSNC)[vi] e la recente legge in materia di rafforzamento della cybersicurezza nazionale e dei reati informatici (di cui alla legge 28 giugno 2024, n. 90) rappresentano le tappe principali di questo percorso.

In tale contesto, gli appalti pubblici di beni e servizi informatici nei settori “sensibili”, qualificati tali per la presenza di interessi nazionali strategici e per esigenze di difesa nazionale, assumono un’importanza cruciale e una particolare complessità che portano ad elevare la sicurezza cibernetica dello Stato al rango di un vero e proprio principio generale[vii] che, nella materia specifica, affianca i principi della par condicio e della massima partecipazione, che tradizionalmente governano le procedure di scelta del contraente.

Il DPCM 30 aprile 2025, emanato in attuazione dell’art. 14 della legge 28 giugno 2024 n. 90, come si vedrà meglio nel proseguo, si muove esattamente su questa linea: esso mira ad assicurare che alcuni beni e servizi informatici (di natura “essenziale” o “critica”), quando vengono acquistati dalla p.a. per essere utilizzati nei suddetti settori “sensibili” (qualificati tali per la presenza di interessi nazionali strategici e per esigenze di difesa nazionale), siano intrinsecamente sicuri e provengano da soggetti potenzialmente non ostili.

A tal fine, il citato DPCM, introduce per l’acquisto di tali tecnologie requisiti di sicurezza stringenti sia sotto il profilo tecnico, imponendo il rispetto di alti livelli di cybersicurezza, sia sotto il profilo soggettivo, garantendo che l’operatore economico, qualora appartenente a Stati extra-UE, provenga da Paesi ritenuti “affidabili” sulla scorta di considerazioni geopolitiche.

L’obiettivo, evidentemente, è duplice: da un lato, prevenire l’introduzione di vulnerabilità informatiche in settori pubblici altamente sensibili; dall’altro, evitare che fornitori sotto l’influenza di potenze estere non alleate accedano a dati sensibili dell’apparato statale.

Trattandosi pur sempre di contratti pubblici, la disciplina dettata dal DPCM deve comunque necessariamente coordinarsi con le disposizioni del codice dei contratti pubblici, la cui applicazione, all’apparenza scontata, risulta tuttavia problematica sotto diversi profili.

Il presente articolo si propone pertanto di esaminare il DPCM al fine di fornirne l’inquadramento sistematico nell’ambito della disciplina nazionale dei contratti di appalto pubblici ponendo attenzione anche alle concrete ricadute operative.

A tal fine, dopo aver inquadrato il DPCM nella cornice del vigente codice dei contratti pubblici, l’attenzione si focalizzerà su alcuni profili problematici di immediata evidenza, ravvisabili nel rapporto con in contratti esclusi o con i contratti della difesa e nel chiarimento del regime di partecipazione a tali gare da parte degli operatori economici extra-UE.

 2. La disciplina generale codicistica per gli appalti di beni e servizi informatici

Le direttive europee sugli appalti pubblici e sui contratti di concessione (Direttive 2014/23-24-25/UE) non contengono disposizioni specifiche riferite al settore degli appalti di beni e servizi informatici e alle relative misure di cybersicurezza[viii].

Come è noto, in attuazione delle medesime direttive, il legislatore nazionale ha adottato due distinti codici. Mentre nel primo (d.lgs. 50/2016) non vi sono norme in materia di cybersicurezza, nel vigente codice dei contratti pubblici, di cui al d.lgs. 36/2023, sono state invece introdotte due disposizioni specifiche: l’art. 19, co. 5, e l’art. 108, co. 4[ix].

L’art. 19, co. 5, del d.lgs. 36/2023, allo scopo di tutelare la sicurezza cibernetica delle gare pubbliche generalmente considerate impone a tale fine una serie di obblighi in capo sia alle stazioni appaltanti, sia agli operatori economici[x].

Da un lato, la norma stabilisce che le stazioni appaltanti e gli operatori economici che prendono parte alle procedure di evidenza pubblica -che, giova ricordare, devono svolgersi in forma digitalizzata- hanno l’obbligo di adottare misure tecniche e organizzative a presidio della sicurezza informatica e della protezione dei dati personali[xi].

Dall’atro, rivolgendosi alle sole stazioni appaltanti, la norma stabilisce che queste ultime hanno l’ulteriore obbligo di assicurare e curare la formazione del personale addetto alle gare, garantendone anche il costante aggiornamento[xii].

L’altra disposizione codicistica che viene in rilievo, come anticipato, è l’art. 108, co. 4, specificamente dedicato all’acquisto di beni e servizi informatici da parte della p.a[xiii].

Nello specifico la norma prevede che, nelle procedure di evidenza pubblica aventi ad oggetto beni e servizi informatici, le stazioni appaltanti, al fine di individuare l’offerta economicamente più vantaggiosa, devono sempre tenere in considerazione gli elementi di cybersicurezza[xiv].

Ciò posto in via generale, quando l’acquisto delle predette tecnologie è connesso alla “tutela degli interessi nazionali strategici” l’amministrazione ha l’obbligo di attribuire alla componente della cybersicurezza una importanza ancora maggiore, o meglio uno “specifico e peculiare rilievo”. In tali casi, infatti, le stazioni appaltanti devono limitare il peso dell’offerta economica entro il 10% del punteggio complessivo, attribuendo quindi alla componente tecnica dell’offerta (comprensiva delle misure di cybersicurezza cui deve essere dato “specifico e peculiare rilievo”) un peso percentuale di almeno il 90% del punteggio complessivo[xv].

Le disposizioni sopra esaminate esauriscono la disciplina dettata dall’attuale codice dei contratti pubblici in materia che quindi risulta contenuta essenzialmente in due soli articoli[xvi].

Il primo (art. 19, co. 5) non si riferisce direttamente agli appalti pubblici di beni e servizi informatici ma mira a tutelare la sicurezza cibernetica delle procedure di procurement in generale.

Il secondo (art. 108, co. 4), invece, si riferisce proprio a questa particolare tipologia di contratti pubblici ed è finalizzata a garantire, in ultima analisi, che le tecnologie acquistate dalla p.a. siano “sicure” ed abbiano idonee garanzie di cybersicurezza.

L’elemento della cybersicurezza, dunque, rappresenta il nucleo centrale della disciplina già recata dal codice in materia di contratti pubblici di beni e servizi informatici, il cui acquisto non può prescindere dalla presenza di misure di sicurezza informatica, le quali dovranno essere sempre tenute in considerazione e, qualora impattino su settori connessi alla tutela di interessi nazionali strategici, dovranno essere valutate con specifico e peculiare rilievo.

Per quanto riguarda la formulazione dell’art. 108, co. 4, come visto, la norma risulta formulata in modo ampio e generico (i.e., non viene stabilito, a monte, quali sono gli elementi di cybersicurezza da tenere obbligatoriamente in considerazione oppure le modalità con cui valutare il loro impatto complessivo sull’offerta) con la conseguenza che spetterà alle singole stazioni appaltanti, nell’esercizio dei propri poteri discrezionali, il compito (assai delicato) di “tenere in considerazione” o di attribuire “specifico e peculiare rilievo” agli elementi di cybersicurezza dei prodotti o dei servizi informatici da acquistare.

Questo approccio, che lascia ampi spazi di discrezionalità alle stazioni appaltanti, da un lato, ha il pregio di valorizzare il soddisfacimento “su misura” oppure “taylor made” dei fabbisogni tecnologici del soggetto pubblico[xvii]; dall’altro, venendo a mancare standard uniformi -seppur minimi- di cybersicurezza risulta problematico sia perché rischia di non assicurare il medesimo livello di protezione alle diverse amministrazioni, sia perché lascia margini interpretativi per la definizione degli “interessi nazionali strategici” che farebbe scattare obblighi più stringenti sul versante della cybersicurezza, con conseguente mancanza di uniformità. 

3. La disciplina speciale dettata dal DPCM 30 aprile 2025

Il recente DPCM 30 aprile 2025, come anticipato, si inserisce da ultimo nell’ambito della strategia nazionale di rinforzo della sicurezza cibernetica delle tecnologie utilizzate dalla p.a. e reca una disciplina specifica per alcuni appalti pubblici di beni e servizi informatici, ritenuti “cruciali” per il corretto funzionamento dello Stato e delle sue articolazioni e dunque meritevoli di una maggior tutela sul versante cibernetico e informatico.

È opportuno chiarire fin da subito che il DPCM in oggetto non si applica indistintamente a tutti gli appalti pubblici aventi ad oggetto tecnologie. Esso si applica solamente agli appalti pubblici di beni e servizi informatici impiegati in due settori specifici, ovverosia: i) in contesti connessi alla tutela di interessi nazionali strategici[xviii]; ii) in contesti connessi alla tutela della sicurezza nazionale.

Ciascun contesto di riferimento, poi, è destinatario di una specifica disciplina ad hoc che mira a garantire che le tecnologie ivi impiegate rispettino elevati standard di cybersicurezza.

In merito al primo “contesto”, relativo alla tutela di interessi nazionali strategici, il DPCM prevede, in sostanza, che le pubbliche amministrazioni[xix] e i soggetti privati inseriti nel PSNC, qualora intendano acquistare taluni beni e servizi informatici elencati nell’allegato 2 al DPCM, devono assicurarsi che tali tecnologie posseggano gli elementi essenziali di cybersicurezza indicati nell’allegato 1 al DPCM.

Il decreto in esame fa riferimento, più precisamente, a beni e servizi informatici[xx] a forte impatto sul piano cibernetico e spesso interconnessi con altre infrastrutture critiche, quali, ad esempio, software di sicurezza, apparati di rete, piattaforme di gestione dei dati, sistemi di videosorveglianza, sistemi “cloud” e di “storage”, dispositivi di autenticazione e strumenti di controllo degli accessi, la cui elencazione completa (e tassativa) è contenuta nell’allegato 2.

La natura di tali tecnologie, unitamente al loro impiego in contesti connessi alla tutela di interessi nazionali strategici rende necessaria e indispensabile la presenza di misure di cybersicurezza rafforzate.

Sotto quest’ultimo profilo il DPCM fa riferimento alla necessaria presenza di “elementi essenziali di cybersicurezza”[xxi], elencati nel dettaglio all’interno dell’allegato 1 al DPCM, i quali, in via esemplificativa, ricomprendono: la protezione da accessi non autorizzati; sistemi di autenticazione e gestione dell’identità; sistemi di protezione della riservatezza e dell’integrità di dati, personali o di altro tipo; caratteristiche tecniche e funzionali che mirano a prevenire vulnerabilità informatiche; la disponibilità di aggiornamenti di sicurezza tempestivi e certificati.

Anche se sul punto il DPCM è silente, la presenza dei citati “elementi essenziali di cybersicurezza” costituisce un primo filtro selettivo per la ricerca della contraente privato per la pubblica amministrazione, introducendo, più che una modalità di valutazione delle offerte, una condizione di ammissibilità delle medesime. Il DPCM, infatti, non stabilisce che i requisiti di cybersicurezza costituiscano elementi premiali, ma al contrario impone che le tecnologie che la pubblica amministrazione intenda acquistare debbano necessariamente e inderogabilmente possedere specifici requisiti tecnici. 

In sede di gara, dunque, alla luce della normativa appena esaminata, deve ritenersi che possano essere valutate esclusivamente le offerte che dimostrino la piena conformità agli standard di cybersicurezza previsti. Ne consegue, a contrario, che un’offerta anche economicamente più vantaggiosa rispetto alle altre, ma che difetti dei richiamati requisiti di cybersicurezza, debba essere dichiarata inammissibile in quanto non strutturalmente conforme alla disciplina speciale di settore.

Per quanto riguarda il secondo ambito di applicazione del DPCM 30 aprile 2025, ovverosia quello relativo agli appalti pubblici di beni e servizi informatici ove vengono in rilievo esigenze di tutela della sicurezza nazionale, la disciplina ivi contenuta presenta un approccio diverso.

In primo luogo viene delimitato con più precisione l’ambito oggettivo di applicazione della disciplina.

Ai sensi dell’art. 4, co. 1, del DPCM, è espressamente previsto che i casi in cui vengono in rilievo esigenze di tutela della sicurezza nazionale sono quelli in cui le tecnologie di cybersicurezza sono destinate ad essere impiegate dai soggetti inclusi nel PNSC[xxii] e riguardano le reti, i sistemi informativi e i servizi informatici “da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica”[xxiii], ovvero che sono funzionali alla loro protezione fisica e logica.

In tali casi si applicano criteri di premialità, in maniera paritaria ed uniforme, alle proposte o alle offerte che contemplino l’uso di tecnologie di cybersicurezza provenienti, oltre che dall’Italia, da Paesi ritenuti “affidabili” e segnatamente: da Paesi appartenenti all’Unione europea; da Paesi aderenti all’Alleanza atlantica (NATO); da Paesi terzi individuati nell’allegato 3 del DPCM[xxiv].

Emerge in modo chiaro che, nel contesto della sicurezza nazionale, più che sul profilo oggettivo della fornitura, il DPCM in esame pone l’accento in modo particolare sul profilo soggettivo dei fornitori, e in particolare sulla loro affidabilità e sicurezza desunte sulla base di considerazioni essenzialmente geopolitiche e diplomatiche.

Il DPCM, tuttavia, non specifica ulteriormente il contenuto dei sopra richiamati criteri di premialità né le loro modalità di applicazione, così come non contiene una disciplina specifica attraverso cui valutare l’affidabilità e la sicurezza dei predetti operatori economici.

In assenza di una specifica regolamentazione sul punto, dovrebbe trovare applicazione la relativa disciplina contenuta nel codice dei contratti pubblici oppure, eventualmente, la disciplina contenuta negli accordi internazionali che vengono in rilievo.

Infine, deve essere notato che l’art. 4 del DPCM 30 aprile 2025, che esaurisce la disciplina in materia di contratti pubblici di tecnologie in casi in cui vengono in rilievo esigenze di tutela della sicurezza nazionale, non specifica nel dettaglio (come lo stesso DPCM fa a in merito agli appalti pubblici di tecnologie impiegate in contesti connessi alla tutela di interessi nazionali strategici) quali sono le tecnologie coinvolte e/o i relativi requisiti di cybersicurezza, né richiama espressamente gli allegati 1 e 2. Esso si riferisce esclusivamente a “proposte” e “offerte che contemplino l’uso di tecnologie di cybersicurezza”[xxv], senza ulteriori specificazioni.

Non è quindi chiaro se, e in che misura, l’elenco dei beni e servizi contenuti nell’allegato 2, così come gli elementi essenziali di cybersicurezza contenuti nell’allegato 1 trovino applicazione anche in tale ambito. Il silenzio del legislatore su questo punto apre a diverse opzioni interpretative. Ad esempio, una interpretazione restrittiva (ma più giustificabile in punto di diritto e coerente sotto il profilo sistematico e testuale) potrebbe sostenere, senza troppo margine di errore, che in assenza di un richiamo esplicito gli allegati 1 e 2 del DPCM non si applichino in questo caso. Ne deriverebbe che le offerte “premiate” potrebbero riguardare anche tecnologie non tipizzate (non solo quelle indicate nell’allegato 2 del DPCM) e che i requisiti essenziali di cybersicurezza (indicati nell’allegato 1 del DPCM) non costituirebbero un requisito tecnico minimo dell’offerta. Si tratta, tuttavia, di una questione aperta, che potrà essere chiarita solo attraverso la prassi applicativa o eventuali interventi interpretativi del legislatore.

 3.1. La collocazione degli appalti pubblici di beni e servizi informatici, disciplinati dal DPCM 30 aprile 2025, nell'ambito della sistematica della disciplina codicistica

Una prima questione interpretativa di un certo rilievo concerne la qualificazione giuridica degli appalti pubblici disciplinati dal DPCM 30 aprile 2025. 

Considerato che tali contratti sono sottoposti ad una disciplina speciale e si riferiscono ad un ambito caratterizzato dalla presenza di interessi nazionali strategici e da esigenze di sicurezza nazionale, i primi dubbi da sciogliere impongono di chiarire se tali contratti rientrino nell’ambito dei c.d. contratti esclusi dall’ambito di applicazione del Codice dei contratti pubblici oppure se restino comunque all’interno del perimetro codicistico attratti nell’ambito della disciplina speciale dettata per gli appalti della difesa; ovvero se rientrino nella disciplina generale del codice pur se con le specialità recate dal DPCM.

Come è noto, il Codice contempla anche la categoria dei contratti c.d. esclusi, per tali intendendosi i contratti pubblici che, per espressa previsione legislativa, sono sottratti, in tutto o in parte, dall’ambito di applicazione del codice dei contratti pubblici[xxvi].

La ratio alla base di tale esclusione, è altrettanto noto, si rinviene nella peculiare ed eterogenea natura degli interessi e delle ragioni sottese alla loro aggiudicazione, quali, ad esempio, il carattere intuitu personae del contratto, motivi di riservatezza o segretezza, la dimensione internazionale del mercato nonché il rispetto di delicati equilibri politico-diplomatici.

La rilevanza di tali interessi può giustificare che la disciplina di tali contratti sia demandata a fonti normative autonome e settoriali, estranee al codice.

Come si è visto nei paragrafi che precedono, gli appalti pubblici di beni e servizi informatici regolati dal DPCM 30 aprile 2025 presentano effettivamente molte di queste caratteristiche: sono caratterizzati dalla presenza di rilevanti e sensibili interessi nazionali, si rivolgono ad una platea internazionale, coinvolgono delicate considerazioni di carattere politico-diplomatico e sono soggetti ad una disciplina specifica dettata ad hoc dallo stesso DPCM.

La compresenza di tutti questi elementi e considerazione potrebbe indurre a collocare tali contratti al di fuori della disciplina codicistica.

Tuttavia, né il codice dei contratti pubblici, né le direttive comunitarie cui esso dà attuazione, né il DPCM 30 aprile 2025, prevedono, espressamente o implicitamente, che tali contratti rientrino nell’ambito dei contratti esclusi e che debbano essere conseguentemente assoggettati ad una diversa disciplina extracodicistica.

Non potendosi prescindere da una espressa indicazione legislativa in tal senso, è quindi evidente che i contratti pubblici regolati dal DPCM in esame, sebbene posseggano spiccati elementi di specialità, rientrano nel perimetro della disciplina codicistica la cui inclusione, tra l’altro, è del tutto coerente con la disciplina speciale recata dallo stesso DPCM che non introduce, ad esempio, diverse modalità o procedure di aggiudicazione, ma insiste, essenzialmente, sui requisiti tecnici minimi delle offerte e sui requisiti soggettivi premiali da attribuire ad alcuni operatori economici.

Rimanendo nell’ambito della disciplina codicistica, è poi comunque da escludere che il richiamo fatto agli interessi nazionali strategici e alle esigenze di sicurezza nazionale valga a consentire la collocazione degli appalti disciplinati dal DPCM 30 aprile 2025 nella categoria degli appalti nel settore della difesa e della sicurezza regolati dall’art. 136 del d.lgs. 36/2023.

Sia l’espresso riferimento a “interessi strategici nazionali” ed a “esigenze di sicurezza nazionale”, sia il fatto che molti beni e servizi informatici oggetto del DPCM potrebbero essere impiegati in contesti militari o “dual use”, possono originare il dubbio che tali appalti rientrino nella disciplina del citato art. 136, il quale prevede che “le disposizioni del codice si applicano ai contratti aggiudicati nei settori della difesa e della sicurezza” ad eccezione dei contratti che: a) rientrano nell’ambito di applicazione del d.lgs. 15 novembre 2011 n. 208 (recante “Disciplina dei contratti pubblici relativi ai lavori, servizi e forniture nei settori della difesa e sicurezza, in attuazione della direttiva 2009/81/CE”); b) ai quali non si applica nemmeno il d.lgs. 208/2011, in virtù dell’art. 6 del medesimo.

Tuttavia, l’ambito oggettivo del DPCM appare più ampio e generale: non riguarda necessariamente beni o servizi tecnologici progettati in modo specifico per scopi militari, né si limita a forniture destinate al Ministero della Difesa o ad altri enti del comparto difensivo. Al contrario, il decreto si rivolge alla generalità delle amministrazioni pubbliche, nonché ai soggetti privati inseriti nel PSNC.

Non pare dunque che i contratti regolati dal DPCM 30 aprile 2025 possano essere di per sé ricompresi in quelli della difesa, salvo ovviamente il caso che l’oggetto della fornitura sia costituito da beni o servizi tecnologici espressamente progettati per fini difensivi.

In linea generale la disciplina prevista dal DPCM 30 aprile 2025 non è dunque riconducibile nel perimetro degli appalti della difesa almeno fintanto che riguardi specificamente forniture di natura militare in senso stretto.

I contratti d’appalto disciplinati dal DPCM 30 aprile 2025, quindi, pur se caratterizzati dalla presenza di interessi nazionali strategici e di esigenze di difesa nazionale non sono dunque riconducibili nell’ambito dei c.d. contratti esclusi, né in quello degli appalti nei settori della difesa e sicurezza atteso che l’ambito oggettivo del DPCM è più ampio.

Alla luce delle considerazioni svolte, dunque, a livello di inquadramento sistematico, gli appalti pubblici presi in considerazione dal DPCM 30 aprile 2025 rientrano nell’ambito della disciplina generale dettata dal codice dei contratti pubblici, con la conseguenza che, in linea di principio, le procedure di aggiudicazione di tali contratti saranno disciplinate dai principi e dalle norme ordinarie contenute nel d.lgs. 36/2023. 

Si deve tuttavia considerare che il DPCM, per quanto sia una fonte secondaria, introduce elementi di specialità della disciplina con specifico riferimento all’introduzione di requisiti minimi di cybersicurezza in punto di presentazione delle offerte e di un maggior favor verso la partecipazione di operatori economici appartenenti a Paesi ritenuti sicuri sulla scorta di valutazioni diplomatiche e geopolitiche.

Non si può pertanto ignorare che sotto tale profilo le disposizioni del DPCM integrano con carattere di specialità la disciplina generalmente dettata dal codice dei contratti pubblici. Si può tuttavia ritenere che la disciplina in parte derogatoria introdotta dal DPCM si muova comunque nel rispetto del principio di legalità e della gerarchia del sistema delle fonti in quanto il decreto è stato emanato in attuazione di una specifica norma di legge, l’art. 14 della l. 90/2024, che sotto questo profilo offre idonea copertura legislativa.

3.2. La partecipazione degli operatori economici extra-UE agli appalti pubblici di beni e servizi informatici disciplinati dal DPCM 30 aprile 2025, con particolare riferimento ai casi di tutela della sicurezza nazionale

Una seconda questione interpretativa di rilievo concerne l’individuazione delle condizioni di partecipazione delle imprese stabilite in Paesi extra-UE alle gare pubbliche per l’affidamento dei contratti disciplinati dal DPCM 30 aprile 2025, soprattutto in contesti connessi alla tutela della sicurezza nazionale ove il decreto in esame introduce un chiaro favor nei confronti di alcuni Paesi che possono anche non appartenere alla UE[xxvii].

L’art. 4 del DPCM, come visto, introduce un sistema di premialità selettiva fondato sul Paese di origine delle tecnologie utilizzate nelle offerte. In base a tale disposizione, sono previsti criteri premiali per le proposte che contemplino l’uso di tecnologie di cybersicurezza provenienti da:

i) operatori economici stabiliti in Italia;

ii) operatori economici stabiliti in altri Stati membri dell’Unione europea;

iii) operatori economici stabiliti in Paesi aderenti alla NATO;

iv) operatori economici stabiliti in Paesi terzi indicati nell’allegato 3 del DPCM.

Con riguardo ai punti i) e ii) non sorgono particolari problemi di sorta: è noto che in base al codice dei contratti pubblici, tanto gli operatori economici nazionali, quanto quelli comunitari, possono partecipare alle procedure di affidamento dei contratti pubblici in condizioni di parità[xxviii].

Più problematica potrebbe risultare la partecipazione degli operatori economici appartenenti ai Paesi extra-UE richiamati dal DPCM che, nello specifico, fa riferimento a Stati Uniti e Canada (quali Paesi aderenti alla NATO e non facenti parte dell’Unione europea), nonché ad Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera (quali Paesi elencati nell’allegato 3 del DPCM).

È altrettanto noto, infatti, che la partecipazione degli operatori economici extracomunitari, al contrario di quanto avviene con gli operatori economici stabiliti nell’Unione europea, non è “automatica”: la lex specialis, infatti, potrebbe prevedere un generale divieto di partecipazione per tali operatori; potrebbe imporre condizioni di partecipazione più gravose; oppure, al ricorrere di determinate condizioni, potrebbe garantire loro la partecipazione in condizioni di parità con gli operatori nazionali e comunitari.

L’attuale codice dei contratti pubblici, all’art. 69, prevede che “se sono contemplati dagli allegati 1, 2, 4 e 5 e dalle note generali dell'appendice 1 dell'Unione europea dell’Accordo sugli Appalti Pubblici (AAP) e dagli altri accordi internazionali cui l'Unione è vincolata, le stazioni appaltanti applicano ai lavori, alle forniture, ai servizi e agli operatori economici dei Paesi terzi firmatari di tali accordi un trattamento non meno favorevole di quello concesso ai sensi del codice.”[xxix]

In altre parole, l’art. 69 del d.lgs. 36/2023 stabilisce che gli operatori economici extracomunitari possono partecipare e gareggiare in condizioni di parità con gli operatori nazionali e comunitari solamente al ricorrere di uno dei seguenti requisiti: i) l’appalto in questione rientra nell’ambito del Government Procurement Agreement (GPA; detto anche accordo internazionale sugli appalti pubblici: AAP); oppure, ii) l’appalto in questione rientra nell’ambito di un altro accordo internazionale firmato dall’Unione europea.

Il GPA[xxx], richiamato dall’art. 69 del d.lgs. 36/2023, rappresenta una delle principali fonti normative sovranazionali che disciplinano la materia dei contratti pubblici e costituisce un accordo internazionale plurilaterale stipulato all’interno della World Trade Organization (WTO)[xxxi]. Tuttavia, tale accordo non è vincolante nei confronti di tutti i membri della WTO, ma solamente nei confronti delle parti (ovverosia degli Stati) che lo hanno espressamente sottoscritto.

Ad oggi, come risulta anche dal database ufficiale della WTO, tale accordo risulta sottoscritto da 22 Paesi[xxxii] tra cui, oltre all’Unione europea e i suoi Stati membri, si rinvengono anche Australia, Canada, Israele, Giappone, Corea del Sud, Nuova Zelanda, Svizzera e Stati Uniti.

Nel delimitare l’ambito oggettivo di applicazione dell’accordo occorre fare riferimento all’articolo 2 del GPA in base al quale è previsto che: i) l’accordo non si applica indistintamente a tutti gli appalti aggiudicati dagli Stati firmatari; ii) al contrario, l’accordo si applica solamente a quegli appalti specifici che ciascuno Stato firmatario, al momento della propria adesione, inserisce nell’Appendice I del GPA (c.d. “covered procurement”).

L’Appendice I è suddivisa in più allegati ove gli Stati firmatari devono ulteriormente specificare l’ambito di applicazione oggettiva dell’accordo e, in particolare, devono indicare: i) le amministrazioni cui si applica il GPA e le relative soglie di rilevanza per l’acquisto di beni e servizi[xxxiii]; ii) i beni e i servizi ricompresi nell’ambito di applicazione del GPA[xxxiv]; iii) eventuali eccezioni all’applicazione del GPA.

Ebbene, in una gara pubblica bandita da uno dei Paesi sopra evidenziati, qualora detta gara rientri nell’ambito dei “covered procurement”, troveranno applicazione, oltre alla normativa nazionale, anche le disposizioni contenute nel GPA, tra cui, in particolare, per quanto qui interessa, l’articolo 4.

L’articolo 4 del GPA, rubricato “general principles”, costituisce una norma fondamentale dell’accordo in quanto reca i principi fondamentali che si applicano alle procedure di evidenza pubblica governate dal trattato.

Nello specifico, l’art. 4, ai commi 1 e 2[xxxv], riporta due fondamentali regole del commercio internazionale, ovverosia: la National treatment rule (c.d. Nt rule), in base alla quale l’amministrazione deve concedere agli operatori economici degli Stati firmatari del GPA un trattamento non meno favorevole di quello che lo Stato banditore riserva alle proprie imprese e ai propri beni e servizi; e la Most favoured nation rule (c.d. Mfn rule) in base alla quale l’amministrazione non deve effettuare discriminazioni tra le imprese straniere provenienti da diversi Stati firmatari del GPA.

Quanto affermato dall’articolo 4, commi 1 e 2, del GPA si riflette (anche e soprattutto) in punto di partecipazione delle imprese extracomunitarie agli appalti aggiudicati da stazioni appaltanti italiane: in questo caso, infatti, se l’appalto bandito rientra tra i “covered procurements”, allora, anche gli operatori economici extracomunitari potranno accedervi, in quanto destinatari di un trattamento non meno favorevole di quello riservato agli operatori economici nazionali.

Ricostruiti i tratti essenziali del quadro normativo di riferimento, a livello nazionale e internazionale, occorre a questo punto verificare se e in che modo i principi sopra richiamati si possano applicare agli operatori economici extra-UE, nei confronti dei quali il DPCM 30 aprile 2025 prevede l’applicazione di elementi premiali, nel caso in cui intendano partecipare agli appalti pubblici di beni e servizi informatici in settori connessi a esigenze di tutela della sicurezza nazionale.

Punto di partenza è l’art. 69 del d.lgs. 36/2023 il quale, in merito, rinvia al GPA.

In primo luogo, dunque, bisogna verificare se la commessa pubblica da aggiudicare rientri nell’ambito dei “covered procurements” del GPA, sia sotto il profilo soggettivo che sotto il profilo oggettivo.

In merito al rispetto dell’ambito soggettivo di applicazione del GPA non dovrebbero sorgere particolari problemi in quanto, si è visto, il GPA è stato sottoscritto anche da Australia, Canada, Israele, Giappone, Corea del Sud, Nuova Zelanda, Svizzera e Stati Uniti, ovverosia i Paesi ritenuti “più sicuri e affidabili” da parte del DPCM 30 aprile 2025.

Per quanto riguarda l’ambito oggettivo di applicazione del GPA, la questione non può essere risolta in via teorica in quanto occorre verificare, nel concreto, una serie di elementi fondamentali della commessa pubblica quali il valore della commessa (che deve rispettare le soglie di rilevanza indicate nell’Appendice 1), le tecnologie o i servizi richiesti (che devono coincidere con i beni e i servizi indicati nell’Appendice 1) e l’assenza di eventuali esclusioni.

Se entrambi questi profili risultano soddisfatti e l’appalto rientra nell’ambito dei “covered procurements” del GPA, allora nei confronti degli operatori economici extra-UE presi in considerazione dal DPCM 30 aprile 2025 troveranno applicazione, in punto di partecipazione alla procedura di evidenza pubblica, la Mfn rule e la Nt rule contenute nell’art. 4 del GPA, la cui applicazione, come visto, garantisce la partecipazione di tali operatori economici in condizioni di sostanziale parità con gli operatori economici nazionali ed UE.

Nel caso in cui non dovesse applicarsi il GPA e non dovessero trovare applicazione neanche eventuali altri accordi internazionali -stipulati tra gli Stati coinvolti nella predetta procedura di procurement ed aventi ad oggetto la reciproca apertura dei rispettivi mercati dei contratti pubblici- allora la partecipazione degli operatori economici extra-UE contemplati dal DPCM 30 aprile 2025 sarà rimessa alla discrezionalità delle singole stazioni appaltanti, le quali potranno decidere di vietarne la partecipazione, renderla più gravosa oppure consentirla in condizione di parità con gli operatori economici nazionali e comunitari.

4. Osservazioni conclusive  

Il DPCM 30 aprile 2025 si inserisce in una traiettoria normativa e strategica che riflette la crescente centralità degli interessi di sicurezza cibernetica nello spazio pubblico. Il provvedimento rappresenta un primo esempio concreto di disciplina attuativa in materia di appalti pubblici di tecnologie informatiche impiegate in contesti sensibili, e come tale costituisce un tassello essenziale del nuovo assetto multilivello della sicurezza tecnologica nazionale.

Come emerso dall’analisi condotta, il DPCM delinea un doppio regime: da un lato, quello relativo ai contesti connessi alla tutela degli interessi nazionali strategici, per i quali vengono specificamente individuati beni e servizi informatici soggetti a obblighi stringenti in termini di cybersicurezza e affidabilità tecnica dell’offerta; dall’altro, quello afferente alla tutela della sicurezza nazionale, che introduce meccanismi premiali selettivi basati sull’origine geografica delle tecnologie impiegate, con chiaro riferimento alla loro provenienza da Stati ritenuti affidabili in chiave geopolitica.

È stato inoltre chiarito che, sebbene gli appalti disciplinati dal DPCM in oggetto siano caratterizzati de esigenze di tutela di interessi nazionali sensibili e di tutela della difesa nazionale, ciò non vale ad assoggettare tali contratti alla disciplina dei “contratti esclusi” o dei contratti “della difesa e sicurezza” (salvo, in quest’ultimo settore, casi particolari), ragion per cui rimangono assoggettati alle norme ordinarie dettate dal codice dei contratti pubblici integrato con la disciplina speciale prevista dal DPCM grazie alla copertura legislativa contenuta nell’art. 14 della l. 90/2024.

Non mancano, tuttavia, alcuni aspetti problematici che il DPCM 30 aprile 2025 lascia irrisolti. Tra questi, l’ampia discrezionalità riconosciuta alle stazioni appaltanti nella definizione del concetto di “interessi strategici nazionali”, con il rischio di applicazioni disomogenee, e la mancata esplicita previsione, nel contesto della sicurezza nazionale, di requisiti tecnici minimi di cybersicurezza, che il DPCM sembra sostituire accontentandosi di una valutazione fondata unicamente sulla provenienza geopolitica dell’operatore economico. Lo stesso tema della partecipazione degli operatori economici extra-UE, rispetto al quale il DPCM introduce un sistema di premialità fondato su criteri geopolitici e diplomatici, rimane comunque denso di implicazioni problematiche. Tale partecipazione, alla luce dell’art. 69 del d.lgs. 36/2023 e della normativa contenuta nel GPA, può essere infatti garantita a condizione che l’appalto rientri tra i c.d. “covered procurements”. In difetto di tale copertura, la partecipazione di tali operatori economici non è preclusa a monte, ma rimarrà soggetta alla valutazione discrezionale delle stazioni appaltanti.

 

[i] Tra i primi commenti sul tema, riferiti al testo originario del DDL AC1717 e della legge 28 giugno 2024 n. 90 cui il DPCM 30 aprile 2025 dà attuazione, si vedano: L. PREVITI, La nuova legge sulla cybersicurezza, un passo avanti e due indietro, in Giornale di diritto amministrativo, I, 2025, pp. 60 e ss.; G. FIORINELLI e M. GIANNELLI (a cura di), Il DDL Cybersicurezza (AC1717). Problemi e prospettive in vista del recepimento della NIS 2, in Rivista italiana di informatica e diritto, I, 2024; L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, in G. FIORINELLI e M. GIANNELLI (a cura di), Il DDL Cybersicurezza (AC1717). Problemi e prospettive in vista del recepimento della NIS 2, op. cit., pp. 19 e ss.

[ii] Sul più ampio tema della regolamentazione della sicurezza cibernetica dello Stato e delle sue articolazioni, nell’ambito di una vasta letteratura si vedano ex multis: M. MACCHIA e G. SFERRAZZO, Sicurezza e rischio tecnologico. La funzione di cybersecurity, in Diritto amministrativo, I, 2025, pp. 109 e ss.; L. MORONI, La Governance della cybersicurezza a livello interno ed europeo: un quadro intricato, in Federalismi, 2024, pp. 179 e ss.; M. A. RIZZI e F. SERINI, Una proposta di studio dei concetti di cybersicurezza e cyberresilienza in senso giuridico tra ordinamento europeo e italiano, in Rivista italiana di informatica e diritto, 2024, pp. 115 e ss.; P.G. CHIARA, DDL Cybersicurezza: tra l’inasprimento della risposta penale del legislatore nazionale e il modello preventivo-amministrativo della direttiva NIS2, in Rivista italiana di informatica e diritto, 2024, pp. 31 e ss.; S. ROSSA, Cybersicurezza e Pubblica Amministrazione, Editoriale Scientifica, Napoli, 2023; L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in Federalismi, 2022, pp. 65 e ss.; L. PREVITI, La gestione del rischio informatico nella decisione amministrativa robotica, in Rivista italiana di informatica e diritto, 2022, pp. 67 e ss.; F. SERINI, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in Federalismi, 2022, pp. 241 e ss.; B. BRUNO, Cybersecurity tra legislazioni, interessi nazionali e mercato: il complesso equilibrio tra velocità, competitività e diritti individuali, in Federalismi, 2020, pp. 11 e ss.; 

[iii] Come è noto lo sviluppo e la regolamentazione della cybersicurezza in Italia si colloca, a sua volta, all’interno di una più grande strategia comunitaria volta a rinforzare e soprattutto coordinare le difese cibernetiche dei Paesi europei e dell’Unione europea.

A livello europeo, le principali tappe relative alla creazione di un quadro giuridico comune in materia di cybersicurezza sono rappresentate da: l’istituzione della European Network and Information Security Agency -ENISA- (con regolamento UE/2004/460) che costituisce l’agenzia europea destinata ad operare in materia di cybersicurezza con importanti compiti in punto di cooperazione e coordinamento dell’attività dei singoli Stati membri; la direttiva UE 2016/1148, c.d. direttiva NIS I (“Network and Information System”) la quale, oltre ad istituire il sistema di governance europea in materia, inter alia, prevede che alcuni soggetti, quali gli “operatori dei servizi essenziali” indicati dalla direttiva (OES) e i “fornitori di servizi digitali” (FSD) che offrono servizi all’interno dell’UE, debbano adottare misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici e più in generale debbano garantire il rispetto di alti standard di cybersicurezza; il regolamento UE 2019/881 (c.d. Cybersecurity Act) che implementa i compiti e le funzioni dell’ENISA; la direttiva UE 2022/2555, c.d. direttiva NIS II, che abroga e sostituisce la precedente NIS I, la quale potenzia e rafforza le misure già introdotte con la precedente NIS I e conferma, tra le altre cose, l’istituzione delle autorità nazionali in materia di cybersicurezza (c.d. autorità nazionali competenti NIS).

[iv] L’Agenzia per la Cybersicurezza Nazionale è stata istituita con d.l. 14 giugno 2021, n. 82, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” e costituisce l’autorità NIS di riferimento nell’ordinamento italiano.

Sull’Agenzia per la Cybersicurezza Nazionale si vedano, ex multis: L. MORONI, La Governance della cybersicurezza a livello interno ed europeo: un quadro intricato, op. cit.; G.G. CUSENZA, I poteri dell’Agenzia per la Cybersicurezza Nazionale: una nuova regolazione del mercato cibernetico, in R. URSI (a cura di), La sicurezza nel cyberspazio, Franco Angeli, Milano, 2023, pp. 123 e ss.; L. PARONA, L’istituzione dell’Agenzia per la Cybersicurezza Nazionale, in Giornale di diritto amministrativo, 2021, pp. 709 e ss.

[v] Ci si riferisce al documento, di carattere programmatico e di indirizzo generale, adottato dall’Agenzia per la Cybersicurezza Nazionale, che illustra le principali sfide da affrontare in tema di cybersicurezza nel quadriennio di riferimento, gli obiettivi da raggiungere e le strategie da impiegare. In particolare, la citata Strategia nazionale di cybersicurezza persegue tre obiettivi fondamentali: i. Obiettivo protezione (ovverosia “la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese. Di particolare importanza è lo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale”); ii. Obiettivo risposta (ovverosia “la risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale”); iii. Obiettivo sviluppo (ovverosia “lo sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze di mercato. La costellazione di centri di eccellenza e imprese che compongono, assieme all’accademia, il tessuto della ricerca e dello sviluppo è infatti un patrimonio essenziale per il nostro Paese con importanti potenzialità di espansione”). Ai fini del presente articolo giova sottolineare che anche all’interno della Strategia nazionale di cybersicurezza, nell’ambito dell’obiettivo protezione, viene ribadito che costituisce un aspetto di particolare importanza il rafforzamento delle misure di cybersicurezza all’interno delle “infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale”, una formulazione molto ampia, e che data proprio la sua ampiezza sembra ricomprendere appieno la fornitura e l’approvvigionamento di beni e servizi informatici (o comunque infrastrutture ICT in genere) anche da parte di soggetti pubblici.

[vi] Il perimetro di sicurezza nazionale cibernetica è stato istituito con d.l. 21 settembre 2019, n. 105, il cui fine, a mente dell’art. 1, co. 1, del medesimo d.l., è quello di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale […].” I soggetti ricompresi nel PSNC sono individuati con separato DPCM non soggetto a pubblicazione o istanze di accesso, con la conseguenza che solo i soggetti ivi ricompresi riceveranno comunicazione della relativa iscrizione all’interno del PSNC.

In generale sul PSNC si veda, fra tutti, S. MELE, Il Perimento di sicurezza nazionale cibernetica e il nuovo “golden power”, in G. CASSANO e S. PREVITI (a cura di), Il diritto di internet nell’era digitale, Giuffrè, Milano, 2020, pp. 186 e ss.

[vii] Come evidenziato dalla dottrina, il concetto di cybersicurezza tenderebbe ormai a distinguersi e ad assumere una propria autonomia rispetto al concetto di sicurezza nazionale, pur rimanendo a questo strettamente connesso. Cfr. in ptc. M. MACCHIA e G. SFERRAZZO, Sicurezza e rischio tecnologico. La funzione di cybersecurity, op. cit., pp. 115 e ss.

Sotto questo profilo la dottrina giunge anche ad affermare che la cybersicurezza potrebbe essere qualificata come vero e proprio bene pubblico. Ex multis si veda R. BRIGHI e P.G. CHIARA, La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, in Federalismi, 2021, pp. 18 e ss.

[viii] Come è stato notato da S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, in Rivista interdisciplinare sul diritto delle amministrazioni pubbliche, II/2024, p. 340, con specifico riferimento alla mancata regolamentazione della materia da parte del legislatore comunitario, “le Direttive 2014/23-24-25/UE in materia di appalti e concessioni non contengono né una disciplina generale sugli appalti di cybersecurity né minime e particolari disposizioni. Questo aspetto, che di primo acchitto può essere giustificato con la riconduzione di questa materia all’ambito di stretto interesse nazionale “tradizionale” dei diversi Paesi membri (nonostante vi sia una precisa disciplina europea in materia di appalti nel settore della difesa), comporta che l’intervento in materia di appalti di cybersecurity sia demandato ai legislatori domestici”.

Sebbene non sia presente nelle direttive europee in materia di appalti pubblici, la disciplina generale della cybersicurezza in ambito europeo si rinviene in altre fonti normative e, in particolare, nel c.d. Cybersecurity Act contenuto nel Regolamento 2019/881 e nelle altre fonti indicate supra sub nota 3.

[ix] In generale, sulla disciplina recata dal codice dei contratti pubblici in materia di cybersicurezza si veda T. COCCHI, La cybersicurezza nel prisma del diritto dei contratti pubblici: un tentativo di ricostruzione delle regole del gioco tra requisiti di partecipazione, criteri di aggiudicazione ed esigenze di certezza, in Munus, I, 2024, pp. 177 e ss.

[x] Per un’analisi dettagliata della norma in esame si rinvia a G. VESPERINI, Commento all’articolo 19, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 200 e ss.

[xi] Cfr. G. VESPERINI, Commento all’articolo 19, op. cit., p. 211, ove si sottolinea che “La relazione del Consiglio di Stato giustifica così la norma: ‘in attesa che le iniziative di regolazione dell’utilizzazione di strumenti e tecnologie digitali, anche per quanto concerne i profili di sicurezza, vengano portate a compimento e, soprattutto, concretamente attuate’, le norme in esame ‘sono funzionali anche a favorire la diffusione di misure, da parte delle amministrazioni, utili alla qualificazione e alla sicurezza, stimolando anche per tale via una uniformità di standard e una crescita complessiva della cultura della sicurezza informatica nella pubblica amministrazione e tra gli operatori economici’”.

[xii] Non deve essere sottovalutata l’importanza della norma sotto il profilo della formazione e del costante aggiornamento del personale amministrativo. La materia della cybersicurezza, soprattutto nel settore delle gare pubbliche, si presenta particolarmente tecnica e -soprattutto, come avviene di consueto in ambito tecnologico- è una materia caratterizzata da una rapidissima evoluzione, il che implica che la formazione e l’aggiornamento del personale delle stazioni appaltanti costituisce un presupposto fondamentale per garantire la resilienza cibernetica della p.a.

Cfr. G. VESPERINI, Commento all’articolo 19, op. cit., p. 212.

[xiii] Cfr. G. MACDONALD, Commento all’articolo 108, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 977 e ss.

[xiv] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341.

[xv] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341 ove l’A. in particolare specifica che “L’art. 108, co. 4, del Codice, invece, al quarto periodo stabilisce che nelle procedure di approvvigionamento di forniture e servizi informatici per l’Amministrazione Pubblica le stazioni appaltanti, e le centrali di committenza, dovendo procedere con l’aggiudicazione sulla base del criterio dell’offerta economicamente vantaggiosa, sono tenute a considerare gli elementi di cybersecurity nella valutazione dell’elemento qualitativo-tecnico dell’offerta; e qualora tali procedure siano riferibili a contesti rilevanti per gli interessi nazionali strategici, le stazioni appaltanti devono limitare la ponderazione della valutazione della componente economica dell’offerta a dieci punti percentuali del punteggio complessivo, in tal modo aumentando notevolmente “il peso” della componente tecnica dell’offerta.”

[xvi] Parte della dottrina ha comunque evidenziato che l’introduzione di tali due nuove disposizioni nel d.lgs. 36/2023, sebbene abbia risvolti positivi poiché ha il merito di codificare importanti principi, d’altro lato ha comunque una “portata limitata: vengono formalizzati due aspetti che, nella realtà dei fatti, erano presenti già prima dell’intervento normativo del 2023 – soprattutto in relazione a quelle Amministrazioni aggiudicatrici da sempre deputate agli appalti di tecnologia. Appare inesatto ritenere che, prima dell’entrata in vigore del recente Codice appalti, le stazioni appaltanti non considerassero l’elemento della cybersicurezza nella valutazione della componente tecnica dell’offerta in gare relative a forniture, servizi e processi informatici”, cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341.

[xvii] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., pp. 341-342.

[xviii] Il DPCM in esame, tuttavia, non contiene una definizione positiva della nozione di “interessi nazionali strategici.” Ciò, come già evidenziato dalla dottrina, l’assenza di un’esatta perimetrazione dell’ampio concetto di “interessi nazionali strategici” costituisce una prima (e notevole) criticità del DPCM ora in esame che ne potrebbe ostacolare la corretta applicazione e generare un notevole contenzioso in una materia già di per sé altamente tecnica e relativa a interessi o contesti -comunque denominati- sensibili.

Cfr. L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, op cit., pp. 20-21.

[xix] L’art. 1, co. 1, lett. a), del DPCM 30 aprile 2025, nel delimitare l'ambito di applicazione soggettivo della normativa, fa riferimento ai soggetti di cui all’art. 2, co. 2, del codice dell’amministrazione digitale, di cui al d.lgs. 7 marzo 2005, n. 82, il quale a sua volta rimanda all’art. 1, co. 2, del d.lgs. 30 marzo 2001, n. 165. In buona sostanza, tramite i rinvii operati dal DPCM 30 aprile 2025, si arriva a coprire pressoché l’intera platea dei soggetti pubblici il che, tenuto conto delle finalità del DPCM in esame, potrebbe risultare sovrabbondante. Come sottolineato da L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, op cit., p. 21, (ove l’A. si riferisce segnatamente all’art. 10 del DDL 1717 ma la cui formulazione, sul punto, è rimasta pressoché inalterata nell’attuale art. 1, co. 1, lett. a) del DPCM 30 aprile 2025) l’elenco dei destinatari della norma “appare decisamente ampio” e “Come osservato in sede istruttoria (cfr. audizione dell’ANCI), l’ambito di applicazione della disposizione dovrebbe essere meglio specificato, in quanto il rinvio per relationem all’art. 2, co. 2, d.lgs. 82/2005 condurrebbe ad una generalizzata efficacia applicativa della disposizione anche a soggetti che non svolgono attività di approvvigionamento di beni e servizi informatici legati alla tutela di interessi nazionali strategici. Si pensi, ad esempio, alla generalità delle società a controllo pubblico, ovvero agli istituti di istruzione ovvero, ancora, alla generalità indiscriminata degli enti locali.”

[xx] DPCM 30 aprile 2025, art. 3, il quale rinvia all’allegato 2.

[xxi] DPCM 30 aprile 2025, art. 2, il quale rinvia all’allegato 1.

[xxii] L’art. 4, co. 1, del DPCM 30 aprile 2025, si riferisce infatti ai soggetti di cui all’art. 1, co. 2bis, del d.l. 105/2019, il quale, rinviando all’art. 1, co. 2, lett. a), fa riferimento a tutti i soggetti (amministrazioni pubbliche, enti e operatori pubblici e privati) inclusi nel Perimetro di sicurezza nazionale cibernetica.

[xxiii] L’art. 4, co. 1, del DPCM 30 aprile 2025, rimanda alle “reti, sistemi informativi e servizi informatici” di cui all’art. 1, co. 2, lett. b) del d.l. 105/2019, il quale a sua volta rimanda all’art. 1, co. 1, del medesimo d.l. 105/2019 sopra riportato.

[xxiv] L’allegato 3 del DPCM 30 aprile 2025, fa riferimento ai Paesi terzi che sono parte di accordi di collaborazione sia con l’Unione europea sia con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Nello specifico, tali Paesi sono: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.

[xxv] DPCM 30 aprile 2025, art. 1, co. 1, lett. c).

[xxvi] Nel vigente codice dei contratti pubblici di cui al d.lgs. 36/2023 la norma di riferimento è contenuta nell’art. 13 del codice che prevede che “le disposizioni del codice non si applicano ai contratti esclusi”.

Per quanto riguarda l’individuazione delle singole categorie di contratti esclusi, l’art. 56 individua i contratti esclusi nei settori ordinari, mentre gli artt. 141-152 recano l’elenco dei contratti esclusi nei settori speciali.

Per un’analisi approfondita dell’art. 13 del d.lgs. 36/2023, si veda S. TOSCHEI, Commento all’articolo 13, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 132 e ss.

[xxvii] In generale sul tema della partecipazione degli operatori economici extracomunitari alle procedure di evidenza pubblica bandite in Italia, seppur con riferimento alla normativa recata dal previgente codice dei contratti pubblici di cui al d.lgs. 50/2016, sia consentito il rinvio a S. FRANCARIO, La partecipazione alle gare d’appalto pubblico degli operatori economici extracomunitari, in Amministrativamente, 2022, pp. 145 e ss.

[xxviii] Cfr. D.lgs. 36/2023, art. 65.

[xxix] L’art. 69 del d.lgs. 36/2023 riprende in maniera pressoché identica l’art. 49 del previgente d.lgs. 50/2016. 

Sull’inquadramento generale e sulla disciplina recata dall’art. 49 del d.lgs. 50/2016 si rinvia a F. FRACCHIA, Fonti internazionali, in M.A. SANDULLI e R. DE NICTOLIS (diretto da), Trattato sui Contratti Pubblici, Milano, 2019, II, pp. 84 e ss.

Sulla disciplina recata dall’art. 69 del d.lgs. 36/2023 si rinvia a M. MARTINELLI, Commento all’articolo 69, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, p. 706.

[xxx] Nell’ambito di una vastissima letteratura, sul GPA si rinvia per tutti a S. ARROWSMITH e R.D. ANDERSON (edito da), The WTO Regime on Government Procurement: Challenge and Reform, Cambridge University Press, Cambridge, 2011, e ivi ulteriori riferimenti bibliografici.

[xxxi] Sulla struttura e sul funzionamento generale della WTO si vedano, ex multis: VAN DE BOSSCHE e D. PRÉVOST, Essentials of WTO Law, Cambridge, Cambridge University Press, 2016; B.M. HOEKAMN e P.C. MAVROIDIS, World Trade Organization – Law, Economics and politics, New York, Routledge, 2016.

[xxxii] L’Unione europea e i suoi Stati membri contano come un’unica parte in quanto il GPA è stato sottoscritto direttamente dalla prima.

[xxxiii] Segnatamente, nell’Allegato 1 vengono indicate le amministrazioni centrali e le relative soglie di rilevanza per l’acquisto di beni e servizi; nell’Allegato 2 vengono indicate le amministrazioni sub-centrali e le relative soglie di rilevanza per l’acquisto di beni e servizi; nell’Allegato 3 vengono indicate tutte le altre amministrazioni e le relative soglie di rilevanza per l’acquisto di beni e servizi.

[xxxiv] Nell’Allegato 4 e nell’Allegato 5 vengono specificati, rispettivamente, i beni e i servizi rientranti nell’ambito di applicazione del GPA.

[xxxv] Nello specifico, l’art. 4, co. 1, del GPA prevede che “With respect to any measure regarding covered procurement, each Party, including its procuring entities, shall accord immediately and unconditionally to the goods and services of any other Party and to the suppliers of any other Party offering the goods or services of any Party, treatment no less favourable than the treatment the Party, including its procuring entities, accords to: a) domestic goods, services and suppliers; and b) goods, services and suppliers of any other Party.”

Mentre l’art. 4, co. 2, del GPA stabilisce che “With respect to any measure regarding covered procurement, a Party, including its procuring entities, shall not: a) treat a locally established supplier less favourably than another locally established supplier on the basis of the degree of foreign affiliation or ownership; or b) discriminate against a locally established supplier on the basis that the goods or services offered by that supplier for a particular procurement are goods or services of any other Party.”

Riceviamo e pubblichiamo questo appello firmato da molte docenti universitarie.

Il reato di femminicidio presentato dal Governo: le ragioni della nostra contrarietà

Il disegno di legge n. 1433 del 31 marzo 2025, rubricato “Introduzione del delitto di femminicidio e altri interventi normativi per il contrasto alla violenza nei confronti delle donne e per la tutela delle vittime”, intende introdurre una fattispecie di reato autonoma per il femminicidio, punita con l’ergastolo.

Nel ribadire l’assoluta importanza delle iniziative di contrasto alla violenza contro le donne, che dovrebbero essere stabilmente iscritte nell’agenda politica ed intraprese con decisione, manifestiamo la nostra contrarietà a questa proposta di riforma per diverse ragioni.

Innanzitutto preme evidenziare che, sebbene priva di una fattispecie autonoma di femminicidio, grazie alle modifiche normative intervenute negli ultimi anni, la disciplina italiana, almeno sul piano sanzionatorio, già coglie lo specifico disvalore della condotta, consentendo di applicare la pena dell’ergastolo all’uccisione di una donna per motivi di genere (i recenti episodi di cronaca lo dimostrano). Nell’attuale quadro normativo - che senz’altro necessita di interventi di riforma - la nuova fattispecie incriminatrice non sembra pertanto incrementare l’effettività della tutela penale, ma, come da più parti si sottolinea, assume una valenza meramente simbolica. Pur consapevoli dell’importanza di questa dimensione del diritto e del suo ruolo sui processi culturali, è fondato il timore che l’enfasi posta sulla rilevanza promozionale e pedagogica di tale intervento legislativo impedisca di avviare una riflessione sull’insieme delle pratiche sociali, politiche, pubbliche ed istituzionali che di fatto giustificano o favoriscono la violenza maschile.

Senza entrare in questa fase nel merito delle tecniche di tipizzazione, che appaiono carenti sotto il profilo della determinatezza e afferrabilità processuale, né della previsione di una pena fissa, si può dubitare del fatto che la minaccia della pena dell’ergastolo sia in grado di far desistere dall’azione criminosa colui che non abbia interiorizzato il valore della libertà femminile e il principio del rispetto della persona. Questi auspicati effetti di deterrenza non hanno mai ricevuto alcuna conferma, come emerge, del resto, dall’esperienza degli Stati Sudamericani, che hanno variamente incriminato il reato di femminicidio in presenza di un numero elevatissimo di donne assassinate.

Al contrario, osservando la realtà, si può constatare come qualsiasi intervento repressivo svincolato da azioni di perequazione sociale ed economica e da strategie di prevenzione, di tipo innanzitutto culturale, risulti del tutto inefficace.

Con il nostro intervento non intendiamo contrapporci ad iniziative di contrasto alla violenza contro le donne, né sminuire la rilevanza del problema; vorremmo sollecitare, invece, una riflessione più ampia e articolata del tema, che tenga conto della complessità del fenomeno, le cui cause sono profondamente radicate nella cultura e, a più livelli, nella struttura della nostra società. Il contesto sociale, economico e lavorativo in cui viviamo riflette un’immagine della donna frequentemente subalterna e mortificata, che favorisce o giustifica atteggiamenti di delegittimazione, sopraffazione e manipolazione, precursori di sempre più gravi atti di violenza.

L’obiettivo prioritario deve essere il contrasto alle molteplici forme di discriminazione e violazione dei diritti umani che sono considerate “fisiologiche” della differenza di genere e che impediscono la piena affermazione dei diritti delle donne e la corretta percezione delle condotte di prevaricazione e abuso. Ed è in questa prospettiva che è necessario intervenire, evitando strumentalizzazioni populistiche, sempre più spesso indifferenti ai canoni che necessariamente informano lo strumento penale, quali la extrema ratio e la tassatività, e utili più per accreditare l’impegno del legislatore che per offrire risposte effettive ed efficaci.

Lunedì, 26 maggio 2025

Elena Mattevi Università di Trento 

Ilaria Merenda Università Roma Tre 

Kolis Summerer Libera Università di Bolzano 

Silvia Tordini Cagli Università di Bologna 

Valeria Torre Università di Foggia 

Cecilia Valbonesi Unitelma Sapienza 

Maria Virgilio Università di Bologna

Anna Costantini Università di Torino 

Malaika Bianchi Università di Parma 

Lucia Risicato Università di Messina 

Valentina Badalamenti Università di Bologna 

Costanza Bernasconi Università di Ferrara 

Annamaria Peccioli Università di Genova 

Mariavaleria del Tufo Suor Orsola di Benincasa 

Gilda Ripamonti Università degli Studi dell’Insubria 

Monica Tortorelli Università del Molise

Chiara Perini Università degli Studi dell’Insubria 

Sofia Braschi Università di Pavia 

Licia Siracusa Università di Palermo 

Debora Provolo Università di Padova

Francesca Rocchi Università di Teramo 

Margareth Helfer Università di Innsbruck 

Caterina Paonessa Università di Firenze 

Anna Maria Maugeri Università di Catania 

Emma Venafro Università di Pisa 

Francesca Curi Università di Bologna

Rosa Palavera Università degli Studi di Urbino 

Valentina Masarone Università degli Studi di Napoli 

Antonia Menghini Università di Trento 

Rosaria Sicurella Università di Catania 

Marta Lamanuzzi Università Cattolica del Sacro Cuore, Milano 

Gaetana Morgante Sant’Anna - Pisa

Valeria Scalia Università di Catania 

Tiziana Vitarelli Università di Messina 

Matilde Botto Università di Bologna 

Daria Perrone Università eCampus 

Stefania Sartarelli Università degli Studi di Perugia 

Simona Raffaele Università degli Studi di Messina 

Alessandra Szegö Università del Piemonte Orientale 

Anna Lisa Maccari Biagi Università di Siena 

Francesca Moro Università di Trento

Lucrezia Franceschetti Università di Trento 

Sara Riccardi Università di Pisa 

Maria Federica Carriero Università La Sapienza di Roma 

Chiara Silva Università di Padova 

Eliana Reccia Università della Campania Luigi Vanvitelli 

Sofia Regini Università di Trento 

Antonella Merli Università di Camerino 

Rebecca Girani Università di Bologna 

Cristina de Maglie Università di Pavia 

Claudia Cantisani Università di Pisa 

Arianna Visconti Università Cattolica del Sacro Cuore, Milano 

Clara Rigoni Università di Losanna 

Marina Di Lello Finuoli Università Cattolica del Sacro Cuore, Milano 

Simona Tigano Università di Catania 

Eliana Greco Università Cattolica del Sacro Cuore, Milano 

Maria Giovanna Brancati Università Luiss Guido Carli 

Lucia Maldonato Università Cattolica del Sacro Cuore, Milano 

Alice Ferrato Università di Padova 

Marta Bertolino Università Cattolica del Sacro Cuore, Milano 

Sara Prandi Università di Torino 

Lara Ferla Università Cattolica del Sacro Cuore, Milano 

Antonella Pirrelli Università di Pavia 

Maria Teresa Collica Università degli Studi di Messina 

Maria Beatrice Mirri Università La Sapienza di Roma 

Maria Teresa Trapasso Università La Sapienza di Roma 

Emanuela Fronza Università di Bologna 

Silvia Massi Università Uninettuno 

Amalia Orsina Università di Catania 

Teresa Travaglia Università degli Studi di Messina 

Priscilla Bertelloni Università Cattolica del Sacro Cuore, Piacenza 

Filomena Pisconti Università di Bari 

Kelly Mae Smith, Università di Trento 

Francesca Consorte Università di Parma 

Magdalena Cogo Università di Trento 

Alice Savarino Università di Basilea 

Maristella Amisano Università della Calabria 

Sul tema si veda anche: Nominare il femminicidio. Non in nostro nome di Maria Virgilio e Nominare la violenza maschile contro le donne: diritto penale e giustizia tra conflitto simbolico e responsabilità politica di Ilaria Boiano, Reato di femminicidio, partiamo dalle parole di Maria Virgilio.

Immagine: Eugenio Spreafico, Dal lavoro. Il ritorno dalla filanda (1890-1895; olio su tela, 101 x 194,5 cm; Monza, Musei Civici).

Proprio l’8 marzo 2025, nella Giornata internazionale dei diritti delle donne, il Governo Meloni ha inteso offrire alle donne la sorpresa di un disegno di legge il cui fulcro è la creazione di una nuova fattispecie di delitto esplicitamente denominata “femminicidio”. Ne viene fornita una definizione («chiunque cagiona la morte di una donna quando il fatto è commesso come atto di discriminazione o di odio verso la persona offesa in quanto donna o per reprimere l’esercizio dei suoi diritti o delle sue libertà o, comunque, l’espressione della sua personalità») e, quanto al profilo sanzionatorio, la previsione della pena è quella dell’ergastolo (fisso, automatico). 

Le reazioni allo scoop governativo hanno trovato consenso e plauso da parte di chi ha accolto tale modifica normativa come rivoluzionaria e innovativa, esaltando e apprezzando la valenza culturale, pedagogica e di uso promozionale del diritto penale, che già dal cambiamento nominalistico trarrebbe forza propulsiva verso un diritto penale moderno, non più neutro e falsamente universale, ma finalmente declinato anche al femminile. Dissentiamo da tali posizioni perché, puntando sul fattore lessicale invece che sulla effettività, assecondano una opzione di politica criminale solo simbolica, che cioè strumentalizza le valenze simboliche del diritto penale in chiave di pretesa rassicurazione collettiva. Purtroppo si incoraggiano così le politiche di legislazione criminale che sfociano nelle leggi-manifesto e del cd. populismo punitivo (nella realtà severo a senso unico, soltanto contro i diversi, i dissenzienti e i ritenuti nemici del sistema).

Peraltro dovremmo prender atto che in Italia la parola femminicidio si è ormai imposta e affermata nella attenzione pubblica e mediatica, nella politica e nella accademia. Ad oggi le resistenze iniziali alla sua concettualizzazione sono state vinte, come dimostra anche il fatto che nel 2023 Treccani, il prestigioso istituto italiano che si occupa di lingua e cultura, ha riconosciuto il femminicidio “parola dell’anno” e che già nel 2013 l’Accademia della Crusca aveva dedicato alla parola una consulenza linguistica. Dunque il femminicidio “esiste” nella rappresentazione sociale, tanto che compare nel lessico dei giuristi (ma come termine sociologico) e anche nei testi delle sentenze attente alla cd. prospettiva di genere (o di quelle che nominano il femminicidio, ma per escluderlo).

La tragedia del delitto Turetta in danno di Giulia Cecchettin ha rafforzato tale diffusa consapevolezza sociale e, sotto questo profilo valoriale, il mero riconoscimento nominalistico a livello giuridico penale nulla può aggiungere. Del resto è questione discussa se il diritto registri e segua i mutamenti nelle coscienze oppure li stimoli e li anticipi: quando il diritto è quello penale, si riducono le capacità di cambiamento sociale tramite lo strumento punitivo della minaccia e della inflizione della pena.

Certo le parole contano, eccome! Sia nel linguaggio comune che nel linguaggio giuridico. Ma le relative trasposizioni vanno verificate attentamente nei loro effetti.

Intanto la tipicizzazione penale prospettata dal Governo deve misurarsi con la varietà delle possibili scelte lessicali. In Italia ha prevalso il termine femminicidio e il Governo ha seguito tale onda; ma c’è chi preferisce femicidio o femmicidio o congiuntamente femicidio/femminicidio oppure ginocidio. In effetti l’origine del termine è l’inglese femicide, di natura sociologica, introdotto negli anni ’70 da Diana H. Russell, che voleva significare qualcosa di più ampio delle violenze contro le donne inquadrabili nel delitto di omicidio. Ma l’elaborazione giuridica si è assai dinamicamente sviluppata altrove, nel mondo sudamericano, e dunque in lingua spagnola (feminicidio), sulla base della impostazione antropologica della messicana Marcela Lagarde, mirata ad attirare l’attenzione politica sulla drammatica situazione vissuta dalle donne in Messico e volta a smascherare le responsabilità statali e istituzionali.

Sono assai numerosi i paesi sudamericani – a cominciare dal Costa Rica nel 2007 fino agli stati federali del Mexico – che hanno utilizzato lo strumento penale contro gli omicidi di donne, ma con una eterogeneità sorprendente nelle soluzioni praticate: basta consultare a livello ONU le accurate rassegne online (su Unodoc di Patsili Toledo Vasquez e su Unwomen di Alicia Deus e Diana Gonzalez), purché si riesca a orientarsi nella consultazione delle intricate tabelle di raffronto. Orbene la comparazione giuridica con la varietà delle opzioni nei sistemi penali sudamericani rende evidente la difficoltà di intervenire legislativamente in materia e dimostra che il disegno governativo è intervenuto d’imperio e ha scelto con l’accetta tra tutte le possibili opzioni tecniche di struttura: bene tutelato (“in quanto donna”); definizione e elementi costitutivi; fattispecie autonoma invece che omicidio aggravato; qualità e numero delle aggravanti; entità della pena; autore neutro o sessuato; soggetto passivo solo donna o altro; contestuale normazione penale di tutte le altre forme di violenza contro le donne; e, soprattutto, contestuali norme di prevenzione e di stanziamento risorse; oltre che nomen iuris (anche la Croazia ha recentemente normato l’omicidio di donna, ma senza rinominarlo, esattamente al contrario della riforma del Belgio, che ha nominato senza rinormare).

Il testo governativo circola ancora in bozza. Vedremo il definitivo. Ma non si dica che sarà poi il Parlamento a correggere e rettificare: l’esperienza della dinamica Governo-Parlamento non induce fiducia! E l’attuale sistema delle audizioni parlamentari non è certo veicolo di discussione aperta e confronto democratico, giacché non può dar voce a tutti gli operatori coinvolti sul campo.

Piuttosto la comparazione con il Sudamerica ci suggerisce un profilo di significativa differenza. Là, soprattutto nei paesi con numeri più impressionanti di assassini di donne (l’organismo ONU ECLAC – Commissione Economica per l’America latina e i Caraibi conteggia nell’anno 2023 una media di ben 11 donne al giorno assassinate per motivi basati sul genere), l’attenzione riformatrice era rivolta primariamente a creare consapevolezza sociale della tragica realtà machista e patriarcale, legittimata e impunita. È a questo fine che i movimenti femministi attuarono tutte le possibili pratiche politiche, ivi comprese quelle di nominazione giuridica. Oggi la tensione è volta piuttosto alla creazione di osservatori istituzionali che consentano la raccolta di dati, presupposto per progettare le politiche corrette. Peraltro i bilanci delle singole e differenziate scelte ordinamentali sudamericane, ormai più che decennali, non sono stati ancora redatti e purtroppo, anche a causa della accentuata diversità delle opzioni tecnico-criminali praticate dai vari sistemi, sono difficilmente comparabili tra loro.

Mi sembra che la condizione della realtà italiana non sia equivalente e che, dunque, possiamo evitare politiche e strategie giuridiche affrettate e, nella sostanza, di primazia penalistica.

Ma non vogliamo, con la sottolineatura delle innegabili difficoltà di politica e di tecnica criminale, portare acqua al mulino di quei critici del disegno di legge governativo che, nel formulare censure condivisibili, non riescono tuttavia a nascondere il loro profondo misoginismo nei confronti di ogni iniziativa che iscriva nell’agenda politica il contrasto alla violenza contro le donne basata sul genere.

Contributo già apparso qui e oggi ripubblicato con l'autorizzazione dell'autrice, che si ringrazia.

Sul tema si veda anche: Nominare il femminicidio. Non in nostro nome di Maria Virgilio e Nominare la violenza maschile contro le donne: diritto penale e giustizia tra conflitto simbolico e responsabilità politica di Ilaria Boiano.

Immagine: particolare da Suzanne Valadon, Girl on a Small Wall, 1930, olio su tela, National Museum of Women in the Arts, DC, Gift of Wallace and Wilhelmina Holladay.

Sommario: 1. L’intelligenza artificiale tra percezioni soggettive e regolazioni normative (a cura di Santo Di Nuovo) - 2. L’AI Act alla prova delle sfide globali: potenzialità e limiti di un modello regolatorio (a cura di Mariavittoria Catanzariti) - 3. Protezione dei dati personali e Intelligenza Artificiale) a cura di Gianluigi Ciacci - 4. Intelligenza Artificiale e azione amministrativa. L'articolo 30 del codice dei contratti pubblici (a cura di Elio Guarnaccia) - 5. I progetti di legge italiani per la disciplina dell’Intelligenza Artificiale (a cura di Mario Valentini) - 6. Due osservazioni (a cura di Carlo Pennisi) - 7. Conclusioni (a cura di Angelo Costanzo).

1. L’intelligenza artificiale tra percezioni soggettive e regolazioni normative (a cura di Santo Di Nuovo)

Una recente rassegna sul “diritto digitale guidato dall'intelligenza artificiale” [2] riassume i vantaggi dell’I.A. che possono migliorare i metodi forensi tradizionali: analizzare vasti insiemi di dati, identificare modelli complessi e automatizzare compiti ripetitivi. Al tempo stesso però evidenzia le sfide etiche e legali proposte dall’impiego dell'I.A.: tra esse, la parzialità delle catene algoritmiche, l'ammissibilità delle prove generate dall'IA in ambito giudiziario, le preoccupazioni sulla privacy degli utenti. Man mano che l'interazione tra le capacità dell'IA e le competenze umane si evolve – conclude l’autore - i professionisti del diritto devono rimanere vigili nell'affrontare le sfide associate, assicurando che le considerazioni tecniche ed etiche siano integrate nelle nuove metodologie proposte dall’I.A. per mantenere il necessario equilibrio tra il progresso tecnologico e il mantenimento di standard etici nelle pratiche forensi.

In questa introduzione accennerò all’atteggiamento dell’utente umano verso le innovazioni basate su A.I., fonte spesso di confusione e incertezza. Esso oscilla tra l’entusiasmo per gli indubbi vantaggi e la paura di perdere il controllo delle operazioni che gli agenti intelligenti possono svolgere in autonomia. C’è chi pensa all’uso della I.A. generativa come utile aiuto per sintetizzare in tempi brevi una grande mole di dati, ma anche per ottimizzare le relazioni o le sentenze (o farle scriverle del tutto?). All’opposto ci sono i timori, derivati da spunti letterari e cinematografici, sull’eccessivo potere attribuito agli agenti artificiali, e sulla possibilità di “eterogenesi dei fini” per cui l’I.A. programmata per certi scopi poi potrebbe perseguirne altri, andando fuori controllo.

Per superare questa dicotomia - poco produttiva se radicalizzata – occorre un aumento delle conoscenze critiche sull’I.A. e le sue applicazioni; conoscenze che sono però molto complesse, per cui si finisce per affidarsi ai “tecnici” considerando le tecnologie come una “scatola nera” di cui si vedono gli esiti senza conoscerne i principi e il funzionamento.

Certo è utile che gli operatori abbiano consapevolezza dei problemi di uso, anche se non possono avere conoscenza di come la tecnologia funziona tecnicamente. Del resto, è quello che avviene quando si usano software di videoscrittura o di calcolo senza conoscere gli algoritmi che sono alla base del loro funzionamento. Quando si usa la realtà virtuale o un robot (anche quello che aiuta in cucina o nelle pulizie, o nella domotica, o nella guida dei veicoli), ma anche lo smartphone che ci accompagna in ogni momento della nostra vita, non occorre sapere come è programmata la rete neurale che ne costituisce la “mente” artificiale. Sappiamo però a che cosa servono questi strumenti “intelligenti”, come possono aiutarci, e dobbiamo essere consapevoli di quali sono i loro limiti e i rischi di un cattivo uso.

Lo stesso vale per l’I.A. applicata al diritto, che peraltro include temi molto diversi tra loro:

- raccolta e analisi di big data

- automatizzazione di procedure con o senza controllo dell’operatore umano

- rilevamento di malware o di disfunzioni nei sistemi

- ottimizzazione delle reti organizzative e della condivisione di pratiche

- generazione di testi

- protezione, o indebita appropriazione, dei dati

Ognuno di questi aspetti comporta problemi diversi: tecnici (di usabilità, di accettabilità, di generalizzabilità a contesti diversi), etici e normativi. Va in ogni caso assicurata la controllabilità dell’agente artificiale per garantire le comunità di riferimento che verranno coinvolte negli usi applicativi - nell’ambito del diritto: magistrati, personale ausiliario, avvocati, periti, investigatori, ecc. – affinché gli scopi e gli esiti siano compatibili con il funzionamento e il benessere della comunità sociale. In linea con l’obiettivo ribadito dagli orientamenti etici per l’I.A. della Commissione Europea[3] (da cui è poi derivato l’IAct del 2024 in attesa di applicazione anche nel nostro Paese): creare una cultura dell'IA affidabile, che permetta a tutti di sfruttarne i vantaggi in un modo che garantisca il rispetto dei nostri valori fondamentali: i diritti fondamentali, la democrazia e lo Stato di diritto.

 

2. L’AI Act alla prova delle sfide globali: potenzialità e limiti di un modello regolatorio (a cura di Mariavittoria Catanzariti)

Il Regolamento EU 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 sulla AI (cosiddetto AI Act) entrato in vigore lo scorso agosto rappresenta il primo corpus iuris in materia di intelligenza artificiale a firma del legislatore europeo. L’UE rinsalda il suo collaudato ruolo di first mover regolatorio digitale, inaugurato con Regolamento Generale sulla protezione dei dati personali (GDPR), che conferma la costruzione di un modello giuridico ispirato alla compatibilità tra libertà economiche e diritti fondamentali.

I capisaldi di questo regolamento sono essenzialmente quattro: l’approccio antropocentrico fondato sulla dignità della persona, la gradualità del rischio dei sistemi di intelligenza artificiale, l’ampia portata materiale e territoriale del regolamento europeo e l’elenco dei sistemi ad alto rischio. L’architettura giuridica complessiva, tuttavia, lascia adito a non poche criticità, alcune delle quali sono oggetto delle brevi riflessioni svolte di seguito.

Sotto il primo profilo occorre precisare che il Regolamento era stato preceduto nel 2019 dalle Linee guida etiche per una intelligenza artificiale affidabile, che avevano svolto una funzione uniformatrice e preparatoria rispetto ai principi applicabili all’uso dei sistemi di intelligenza artificiale – tra i quali trasparenza, robustezza, qualità e protezione dei dati. Il controllo umano sulle decisioni automatizzate è stato inteso come baluardo della autodeterminazione informativa in contrasto a pratiche manipolatorie. Tuttavia, gli strumenti di effettiva realizzazione del controllo umano si risolvono in meccanismi di autocertificazione obbligatoria per i sistemi di intelligenza artificiale ad alto rischio ad opera di produttori, sviluppatori e utilizzatori - sulla falsariga del modello di responsabilità da prodotto – e di adesione a codici di condotta per i sistemi non ad altro rischio. Rispetto alle violazioni dell’AI Act, infatti, non è prevista alcun tipo di interlocuzione da parte dell’individuo, né tampoco rimedi giurisdizionali specifici, salvo la possibilità di presentare un reclamo a un'autorità di vigilanza del mercato o il diritto a ottenere dall’utilizzatore spiegazioni chiare e significative sul ruolo dell’uso sistema AI nella procedura decisionale.

Con riguardo alla gradualità del rischio, l’art. 5 del Regolamento vieta l’uso dei sistemi che comportano un rischio inaccettabile, prevedendo per le imprese un obbligo di conformità entro sei mesi dall’entrata in vigore. Si tratta di sistemi utilizzati per pratiche di manipolazione, sfruttamento e controllo sociale e previsti dall’art. 5 del Regolamento, come i sistemi che utilizzano tecniche subliminali manipolatorie, che sfruttano la vulnerabilità di soggetti, che valutano o classificano le persone in base a un social scoring, che effettuano valutazioni sul rischio di commissione di reati, che ampliano banche dati di riconoscimento facciale mediante tecniche di scraping, che inferiscono emozioni personali sul luogo di lavoro e nei luoghi di istruzione, che compiono categorizzazione biometrica con finalità discriminatoria o remota in spazi accessibili al pubblico e tranne che per finalità di contrasto tassativamente previste. Anche rispetto a tali sistemi, se è vero che essi costituiscono pratiche vietate, non è chiaro che tipo di rimedi individuali specifici renda disponibili il Regolamento. Al momento l’unica norma applicabile sembrerebbe quella di cui all’art. 22 GDPR in ordine al diritto alla decisione umana, sulla quale di recente la Corte di Giustizia si è espressa delineando le caratteristiche del significato di decisioni automatizzate produttive di effetti giuridici e includendo tra esse la profilazione (C-634/21, Schufa Holding (Scoring), 7 dicembre 2023). Sembrerebbe piuttosto che la centralità dell’approccio antropocentrico si risolva in una valutazione a monte circa l’inaccettabilità del rischio che non pone l’individuo al centro di un contesto mutevole nel quale possono variare le situazioni pregiudizievoli a seconda degli interessi meritevoli ma preconfeziona una sorta di obbligazione di risultato.

In relazione all’ampia portata dell’AI Act, va osservato che esso si applica dal punto di vista territoriale e materiale tanto alla immissione sul mercato (distribuzione e uso nel corso di attività commerciali) quanto alla messa in servizio nel mercato UE (fornitura all’utilizzatore per il primo uso) da parte di utilizzatori anche se non stabiliti o ubicati all’interno dell’UE di sistemi di IA o modelli di IA per finalità generali nell'Unione, utilizzatori stabiliti o ubicati all’interno dell’UE, importatori e distributori di sistemi AI, fabbricanti di prodotti che immettono sul mercato o mettono in servizio un sistema di IA insieme al loro prodotto e con il loro nome o marchio, rappresentanti dei fornitori non stabiliti in UE, persone interessate che si trovano in UE, fornitori e utilizzatori nell’Unione stabiliti o ubicati in un paese terzo, qualora l’output prodotto sia utilizzato nell’UE. Si prevede sostanzialmente un ambito di applicazione esteso persino agli output prodotti in Europa, con evidente difficoltà di inquadramento del fatto giuridico nello spazio e nel tempo in ossequio al principio di certezza del diritto, in quanto un output di un sistema di AI può addirittura riferirsi a un’utilizzazione diluita nel tempo dei risultati indipendentemente dalla utilizzazione del sistema stesso in Europa. Tra le deroghe si annoverano la sicurezza nazionale, la difesa e l’uso militare - con evidenti discrasie in ordine al dual use, mentre sono esenti dall’applicazione dell’AI Act le autorità pubbliche di paesi terzi e organizzazioni internazionali.

Ultimo profilo, non di poco conto, riguarda l’elenco di cui all’Allegato III sui sistemi ad alto rischio, considerati legittimi, per i quali vige un obbligo di certificazione, che può essere aggiornato nel tempo dalla Commissione, con ulteriori profili dubbi ancora una volta in ordine alla certezza del diritto. Tra i settori più problematici si evidenziano quelli relativi allo scoring lavorativo e all’accesso alle prestazioni pubbliche essenziali in ordine alla valutazione dell’affidabilità creditizia, nonché quelli relativi all’amministrazione della giustizia e ai processi democratici. In particolare, con riguardo a questi ultimi, appare molto labile la previsione normativa che circoscrive l’applicabilità delle previsioni relative ai sistemi ad alto rischio alla sola attività di supporto alla decisione giudiziale, identificato nella ricerca e nell'interpretazione dei fatti e del diritto e nell'applicazione della legge a una serie concreta di fatti, ma non esprimendosi nettamente sul punto e lasciando ampio spazio alla interpretazione.

Le perplessità sono dunque molteplici a fronte di un successo regolatorio indiscutibile che tuttavia invita all’esercizio della consapevolezza.

3. Protezione dei dati personali e Intelligenza Artificiale) a cura di Gianluigi Ciacci

Lo sviluppo di un’attenzione “diffusa” per l’IA, conseguenza anche del moltiplicarsi delle sue applicazioni nella quotidianità degli utenti (si pensi ad esempio agli assistenti virtuali nei cellulari o in device casalinghi, ed all’“esplosione” dei chatbot e dell’intelligenza artificiale generativa), oltre a portarla al di fuori della discussione tra esperti, ha fatto nascere un dibattito sulla necessità di trovare un equilibrio fra due opposte esigenze:

– non rallentare, o addirittura bloccare, il progresso del settore, e quindi le conseguenze positive dello stesso (e poi sì, anche l’enorme business da essa resa possibile direttamente, per il valore in sé dell’IA e, indirettamente, per la ricchezza prodotta dalle sue applicazioni);

– impedire che tale progresso avvenga in danno dei suoi utenti.

Dicotomia che raggiunge una forte criticità, da una parte, proprio nel momento in cui dal suo sviluppo dipendono enormi interessi economici (“aumentando la posta in gioco”); e, dall’altra, quando il danno agli utenti riguarda i loro dati personali: in questo secondo caso soprattutto a causa della presenza di una normativa forte, rappresentata dal Regolamento UE 27 aprile 2016, n. 679 (il c.d. GDPR), finalizzata proprio a prevenire, o comunque limitare, tale danno. Infatti questa disciplina applicata ai sistemi di I.A. incontra diversi problemi, che rendono il rispetto degli obblighi da essa dettati estremamente complesso per i titolari di trattamento che usano, in diverse realtà, tali sistemi.

Per risolvere tali difficoltà applicative, ci si deve muovere dall’analisi del contesto normativo che oggi regolamenta l’I.A. e le sue applicazioni, attraverso la conoscenza approfondita della disciplina in materia di protezione dei dati personali, per poi arrivare a “tracciare” la strada da seguire.

Così, con riferimento alle prime norme dettate per le macchine intelligenti, la loro analisi dimostra come siano sempre presenti riferimenti, più o meno specifici, alla tutela delle informazioni relative agli individui: riferimenti che ribadiscono e sottolineano l'importanza del rispetto dei diritti fondamentali dell'individuo, in particolare quello alla protezione dei suoi dati personali, anche nella realtà delle applicazioni dell’I.A.. Situazione che pone il contrasto indicato non tanto e non solo nella dicotomia “applico/non applico”, ma anche nella più ampia scelta tra “rispetto/non rispetto” la legge: e allora non si può certo ritenere ammissibile la rinuncia alla legalità, e nella specie a tale protezione.

Provando allora ad immaginare le possibili soluzioni a tale contrasto, le “cose da fare”, indichiamo tre differenti ambiti.

Innanzitutto, dal punta di vista dei “player” del settore, cioè da un lato i produttori/fornitori di sistemi di I.A., dall’altro gli utilizzatori di tali sistemi (comunque tutti “titolari del trattamento” se questi vengono applicati ad informazioni relative a dati personali), questi devono essere portati ad adeguarsi obbligatoriamente e in maniera corretta ed effettiva al sistema della protezione dei dati personali introdotto dal Regolamento 2016/679, ognuno nell’ambito della propria attività di trattamento di tali dati.

Con riferimento poi agli utenti delle macchine intelligenti, occorre sviluppare il più possibile una tutela “dal basso”, cioè posta in essere dagli stessi interessati che, in maniera più o meno consapevole, cedono i loro dati ai player citati: tutela che deve partire dalla loro corretta ed efficace informazione e formazione, in generale sulla realtà digitale in cui vivono, ma anche in particolare su quella del trattamento dei dati personali, sugli utilizzi che se ne fanno nei sistemi di intelligenza artificiale, e quindi sulle modalità della loro tutela. Portandoli in questo modo a realizzare che non possono più essere solo passivi fruitori della sempre più pervasiva innovazione tecnologica, né d’altro canto “tecno-entusiasti” senza alcun senso critico: ma che devono diventare “tecno-consapevoli”, capaci così di gestire tale innovazione, e dunque di proteggere i propri diritti fondamentali, non ultimo per evitare di essere gestiti da essa.

Infine, si ritiene necessario potenziare il più possibile anche la tutela “dall’alto”, sia a livello normativo, realizzando discipline che non si limitino solo a semplici richiami o ad affermazioni generali di principio, ma che individuino regole certe ed efficaci; sia rispetto alle Autorità di controllo (nel nostro Paese il Garante per la protezione dei dati personali), in particolare potenziandole e rendendole maggiormente operative. Dando quindi a queste ultime la possibilità di fornire un concreto ausilio per la realizzazione di quanto appena riportato: e dunque di condurre all’adeguamento alla disciplina normativa, in maniera qualitativamente migliore, i citati “player” del settore e, allo stesso tempo, di rendere consapevoli il maggior numero possibile di interessati.

Soluzioni sicuramente ambiziose, e allo stesso tempo di difficile realizzazione, e comunque non in tempi brevi. Ma occorre capire innanzitutto che, a fronte della repentina evoluzione delle macchine intelligenti, sempre più potenti ed invasive della nostra sfera privata, non si può non fare qualcosa per giungere alla soluzione del contrasto tra sviluppo dell’I.A. e protezione dei dati. E questo avendo ben chiaro che il problema in realtà si pone su un livello più alto di quanto possa sembrare: in particolare quello tra la limitazione, o addirittura la rinuncia a un diritto fondamentale dell’individuo per l’importanza (economica) del settore, il cui sviluppo può comunque avere indubbi vantaggi per tutti noi, ed in ogni caso è oramai impossibile fermare.

Per questo motivo la soluzione sembra essere fondamentalmente quella di un “salto culturale”, giuridico e tecnologico, finalizzato a portare al 100% di successo il sistema di protezione dei dati personali, quale contrappeso e limite rispetto agli innovativi (e di moda) sistemi di intelligenza artificiale. Sfruttando in questo modo le utilità che possono apportare alla nostra vita, senza doverne subire necessariamente gli aspetti negativi .

 

4. Intelligenza Artificiale e azione amministrativa. L'articolo 30 del codice dei contratti pubblici (a cura di Elio Guarnaccia)

La digitalizzazione della pubblica amministrazione, avviata normativamente nel 1997 con il decreto legislativo che ha disciplinato per prima volta in Europa la firma digitale, vive un periodo di profonda maturazione, sia in conseguenza dell’ormai piena attuazione del codice dell’amministrazione digitale, il decreto legislativo 82 del 2005, sia, proprio con riferimento agli appalti pubblici, alla luce dell’intera digitalizzazione del ciclo di vita dei contratti pubblici voluta dal decreto legislativo 36 del 2023.

E infatti, il corpus normativo attualmente vigente in materia di appalti pubblici, ha inteso prevedere in modo generalizzato e vincolante per tutte le pubbliche amministrazioni la digitalizzazione di tutti gli step del procedimento di approvvigionamento pubblico, ossia programmazione, progettazione, pubblicazione, affidamento ed esecuzione. E ciò non in esecuzione di nuove direttive comunitarie, ma sulla scorta del cd. principio del risultato, nel quadro della spinta voluta dal PNRR per la ripresa del nostro paese dopo la pandemia, e comunque in piena conformità con i principi, gli strumenti e le regole imposti dal codice dell’amministrazione digitale nel settore della transizione digitale della PA.

Ed è proprio un articolo del codice contratti pubblici, l’articolo 30, l’unica norma di legge vigente del nostro ordinamento giuridico, che si occupa di intelligenza artificiale. E lo fa esprimendo una preferenza verso la scelta delle stazioni appaltanti di “automatizzare le proprie attività ricorrendo a soluzioni tecnologiche, ivi incluse l'intelligenza artificiale e le tecnologie di registri distribuiti”.

Ma questa preferenza viene espressa mantenendo fermo l’ormai consolidato rapporto di strumentalità tra uso dell’informatica e efficienza dell’azione amministrativa, specificando infatti che l’adozione di applicativi di AI deve essere in ogni caso volta a “migliorare l'efficienza”, così come d’altronde ritroviamo all’art. 3bis della legge n. 241\90, laddove già il legislatore del 2005 sanciva che “le amministrazioni pubbliche agiscono mediante strumenti informatici e telematici … per conseguire maggiore efficienza nella loro attività”.

La norma in commento, dunque, disciplina espressamente le regole che le stazioni appaltanti devono seguire per inglobare nelle piattaforme di approvvigionamento digitale -la via maestra per l’espletamento delle gare d’appalto, segnata dall’art. 25 del codice- specifici applicativi di intelligenza artificiale. 

In particolare, il comma 2 prevede che, nell'acquisto di soluzioni di AI, le stazioni appaltanti devono prioritariamente assicurare “la disponibilità del codice sorgente”, inclusa la relativa documentazione ed ogni altro elemento utile a comprenderne le logiche di funzionamento.

È evidente dunque l’esigenza del legislatore di garantire alla PA committente maggiore trasparenza e conoscibilità possibile dell’algoritmo, che al tal fine opera un’evidente inversione di tendenza rispetto all’art. 68 CAD, che invece, nel prevedere l’acquisto da parte delle pubbliche amministrazioni di programmi informatici, i cd. software -nel cui ambito devono annoverarsi le soluzioni algoritmiche e automatizzate- indicava come soluzione preferibile il “software sviluppato per conto della pubblica amministrazione”, relegando al terzo posto, dopo il riutilizzo di software, il software a codice sorgente aperto.

Ma l’art. 30 si spinge oltre: recependo la giurisprudenza amministrativa già stratificatasi sul punto, essa infatti prevede quali debbano essere le caratteristiche necessarie che devono avere i provvedimenti amministrativi formati con l’intelligenza artificiale: a) conoscibilità e comprensibilità, b) non esclusività, c) non discriminazione.

Si tratta, dunque, di una norma primaria di grande portata. E ciò anche perché la sua formulazione di fatto la fa diventare paletto normativo da seguire per qualsiasi procedura di acquisto pubblico di intelligenza artificiale, e per di più a prescindere dall’utilizzo a cui l’AI verrà destinata dalla pubblica

 

5. I progetti di legge italiani per la disciplina dell’Intelligenza Artificiale (a cura di Mario Valentini)

Introduzione

Il Disegno di Legge (DDL) sull'Intelligenza Artificiale, presentato al Senato il 20 maggio 2024, ha l'obiettivo di bilanciare le opportunità offerte dalle nuove tecnologie con i rischi legati al loro uso improprio. Questo provvedimento, composto da 27 articoli e suddiviso in 6 capi, affronta una serie di temi cruciali per la regolamentazione dell'IA in Italia. Tra questi, si trovano i principi e le finalità dell'IA, le disposizioni di settore, la strategia nazionale, la tutela degli utenti, il diritto d'autore, le disposizioni penali e quelle finanziarie.

Il DDL è stato approvato dal Senato il 20 marzo 2025 e attende ora la discussione alla Camera dei deputati. Un concetto chiave del disegno di legge è l'autonomia: l'IA è vista come uno strumento che coadiuva le decisioni umane senza sostituirle, promuovendo lo sviluppo di sistemi comprensibili e tecnologicamente avanzati. Questo approccio vuole garantire che le decisioni automatizzate siano sempre controllate dall'autodeterminazione umana.

1. Dalle prescrizioni etiche allo sviluppo economico

Gli articoli 3, 4 e 5 stabiliscono le prescrizioni etiche e operative per l'IA in Italia, concentrandosi su dignità umana, sicurezza e trasparenza, e promuovendo lo sviluppo economico.

2. Salute, lavoro e giustizia: il Capo II del DDL Intelligenza artificiale

Il Capo II del DDL riguarda l'uso dell'IA in sanità, lavoro e giustizia, migliorando efficienza e trasparenza. L'articolo 7 disciplina l'uso dell'IA nel settore sanitario, mentre l'articolo 10 regola l'uso dell'IA nel settore lavorativo.

3. Difesa e sicurezza nazionale 

Il DDL prevede l'uso dell'IA nella difesa e sicurezza nazionale per monitorare minacce, proteggere dati e gestire emergenze informatiche. Include strumenti per il disaster recovery e il miglioramento della cybersicurezza. L'articolo 6 esclude le attività di IA legate alla sicurezza nazionale dalla normativa generale. I sistemi di IA destinati all'uso pubblico devono essere installati su server ubicati in Italia per garantire la sicurezza dei dati sensibili.

4. Strategia e governance 

Il DDL assegna la governance dell'IA ad AgID e ACN, una decisione contestata da alcune associazioni per i diritti digitali che preferivano un'autorità indipendente. Il Garante della Privacy ha evidenziato la mancanza di un ente autorizzato per i sistemi di identificazione biometrica in tempo reale e si è candidato per questo ruolo. Le opposizioni propongono la creazione di vari osservatori e commissioni, tra cui un Osservatorio sui Diritti Digitali a Palazzo Chigi, una commissione per l'uso dell'IA in ambito giudiziario, una commissione dati, analisi e la ricerca clinica presso il Ministero della Salute.

5. Investimenti nell'IA 

L'articolo 21 delinea gli investimenti nei settori dell'IA, cybersicurezza e calcolo quantistico. Il governo ha previsto un fondo da 1 miliardo di euro, gestito da Cdp Venture Capital Sgr, per sostenere lo sviluppo dell'IA in Italia. Questo fondo è destinato sia alle PMI che alle grandi aziende per favorire ricerca e innovazione. Tuttavia, l'apertura del fondo a investitori stranieri ha suscitato dibattiti sulla tutela dell'industria nazionale e il controllo strategico delle tecnologie emergenti.

6. Sistema sanzionatorio 

L'articolo 25 del DDL apporta modifiche al Codice penale, inasprendo le pene per reati commessi mediante l'uso dell'IA. Le aggravanti sono previste quando l'IA costituisce un mezzo insidioso, ostacola la difesa pubblica e privata, o peggiora le conseguenze del reato. Viene introdotto il reato di "Illecita diffusione di contenuti generati o alterati con sistemi di IA" (articolo 612-quater), punendo chi causa danni ingiusti, diffondendo immagini, video o voci falsificati o alterati senza consenso, utilizzando l'IA.

Il DDL Intelligenza Artificiale è stato approvato lo scorso 20 marzo 2025 al Senato e si attende ora la sua discussione alla Camera dei deputati.

 

6. Due osservazioni (a cura di Carlo Pennisi)

Dal punto di vista sociologico si tratta di due questioni connesse, sul piano culturale, tecnico e normativo.

La prima riguarda un aspetto del carattere performativo che rivestono gli strumenti di cui si parla rispetto alle decisioni in cui vengono coinvolti, sia che si propongano in forma di piattaforme, di software o di chatbot. Ciascuno di questi strumenti, in effetti, sembra andare oltre la predisposizione delle alternative decisionali, la contestuale riduzione e moltiplicazione degli ambiti di interrogazione o di applicazione. Ciascuno di essi deriva infatti da un processo di digitalizzazione della realtà e della sua rappresentazione (testuale o iconica) che, in attesa degli sviluppi operativi della logica quantistica, implica selezioni, classificazioni, tipizzazioni e generalizzazioni volte ad adeguare al carattere binario dell’universo digitale ciascuna delle dimensioni di realtà interessate; volte a rendere “discrete” dimensioni della realtà che devono spesso la propria identità al loro carattere continuo (comunicazioni, interazioni, emozioni, sentimenti, i loro processi e gli esiti).

In questo senso, il carattere performativo di tali strumenti si realizza anche, pur suscitando meno attenzione e dibattito, sul piano cognitivo, sul piano della determinazione dei contenuti sui quali si esercita la decisione alla quale vengono dedicati questi strumenti (definizioni, imputazioni, previsioni, acquisti, ma anche formulazioni di testi).

Nell’ambito della pratica giuridica il ruolo cognitivo di questi strumenti non può essere sottovalutato. Può comportare che l’attribuzione di significato normativo, ad una prescrizione la cui fattispecie sia derivata da processi di quel tipo, sfugga alla normatività che le deriva dalla sua qualificazione giuridica e venga piuttosto derivata dallo stato di fatto digitalmente predefinito – molta della logica “evidence based” non sfugge a questo rischio. La performatività sul cognitivo compiuta dal digitale può così risultare una sottrazione di potere normativo all’ordinamento a favore di un passaggio che si rivela certamente di potere ma la cui autorità, la cui legittimazione istituzionale, rimane ancora da verificare.

La seconda questione ha a che fare con quello che si dice “uso consapevole” di queste tecnologie, quale strumento di prudenza e di difesa dalle loro eventuali distorsioni. Al di là dell’auspicio, questa indicazione di solito fa riferimento alla consapevolezza relativa all’oggetto di cui si parla, ossia ancora i software, il loro funzionamento e le loro regole. È una prospettiva comprensibile dal punto di vista professionale. Poiché si tratta di strumenti, la responsabilità nel loro uso impone prudenza e conoscenza, quindi informazione e formazione continua.

Tuttavia, l’aspetto della consapevolezza sul quale occorre richiamare l’attenzione, anche rispetto a quanto già osservato, ha a che fare con la specifica dimensione riflessiva dell’esercizio professionale. Un approccio professionale nei confronti della tecnologia impone anche un atteggiamento autocontrollato sulla professione che sorregga e dia contenuto al carattere, appunto, “strumentale” della tecnologia rispetto ai fini, al quadro normativo ed empirico nel cui ambito si realizza l’esercizio professionale.

Tale carattere strumentale, tuttavia, rimane tale solo sino a quando l’uso della tecnologia risulta decidibile. Su questa decidibilità si conserva, professionalmente, il carattere di strumento della tecnologia. Interrogarsi soltanto sulla semplice “utilità” delle tecnologie che si propongono alle pratiche professionali, sul risparmio di tempo, sulle loro potenzialità economiche, può celare, paradossalmente, proprio il loro carattere strumentale, ossia il fatto che vengono scelte e adoperate in vista di un obiettivo, di un fine che, professionalmente non può essere solo individuale. E celare il loro carattere strumentale significa divenirne “utenti”, ossia operatori “configurati” dalle regole e dalle decisioni del software.

Ora, se nell’uso quotidiano questa configurazione da utente molte volte risulta inevitabile (con tutte le conseguenze che la ricerca ha messo in luce), nell’uso professionale finisce col risultare contraddittoria proprio con la dimensione professionale della pratica entro cui si realizza il ricorso al software. Perché, in effetti, non si è soli dinanzi a questi strumenti, e meno che mai lo si è da professionisti. Anche solo la disponibilità del loro uso è frutto di una o più decisioni già prese da altri – e capire in quale veste sarebbe già informativo.

Ma, soprattutto, la decisione di adoperarli è compiuta nell’ambito di un esercizio di ruolo che non può essere concepito esclusivamente sul piano individuale e psicologico (come talvolta rischia di fare generalizzando la problematica della relazione uomo-macchina). In quest’ambito, la decisione di servirsi di tecnologia, e il modo in cui lo si fa, è parte di una pratica che possa dirsi professionale nella misura in cui è configurata dall’ordinamento entro il quale quel ruolo assume senso e identità. Questa condizione non è esclusivamente normativa, ma si specifica in molteplici dimensioni: l’organizzazione pubblica di cui si è parte o con la quale si è in relazione, le prassi procedimentali e processuali nelle quali si opera, le scelte deontologiche e regolatorie dell’ordine professionale al quale si appartiene, le pratiche di studio consolidate, le relazioni con il cliente. Ciascuna di queste dimensioni operative e normative interagisce con tutte le altre e definisce nel concreto la selettività specifica, di fatto e normativa, in cui si realizza l’uso dei software che si rendono disponibili al professionista.

Da questo punto di vista, la consapevolezza non riguarda più soltanto l’oggetto ma, appunto, il suo carattere strumentale rispetto agli obiettivi, ai fini e, va detto, rispetto ai valori, ai quali è orientato ciascuno degli ambiti normativi e di pratiche entro i quali assume senso l’esercizio professionale. In altri termini, la consapevolezza riguarda anche il quadro di istituzioni sociali e giuridiche che danno senso, orientamento normativo e valore all’esercizio professionale, perché è solo in riferimento a queste dimensioni che si definisce in senso proprio il carattere strumentale nell’uso della tecnologia.

Tale consapevolezza, motore della riflessività della pratica professionale, assume rilevanza in due direzioni inseparabili. Per un verso, rende progressivamente chiare le sfide ed i cambiamenti necessari nel quadro istituzionale e normativo che orienta l’esercizio professionale, sul piano dei fini e dei loro rapporti con i mezzi disponibili. Per un altro verso sollecita il professionista a mantenere soltanto strumentale il proprio rapporto con la tecnologia, rapportandone gli usi che gli sono possibili ai fini ed al quadro istituzionale entro cui si muove.

La tecnologia trasforma le professioni, gli ordinamenti, i ruoli e le pratiche non per una propria forza, ma attraverso l’uso che se ne compie e, soprattutto, attraverso modalità che riescono o meno a salvaguardare ciascuno degli obiettivi specifici dei livelli di senso, empirici e normativi, entro cui il professionista esercita il proprio ruolo.

 

7. Conclusioni (a cura di Angelo Costanzo)

L’espressione «intelligenza artificiale» (coniata durante il convegno di Dartmouth nel 1956), mentre esprime correttamente la natura artificiale dei sistemi che vengono così denominati, inganna circa le sue vere capacità.

Converrebbe, allora, abituarsi a riconsiderare i diversi strumenti offerti dalla cosiddetta intelligenza artificiale, dando loro nomi aderenti alle variegate realtà in cui si articolano.

In generale, potremmo parlare di forme di «razionalità algoritmica a base elettronico-silicea». Oppure ─ nel caso di sistemi che, con strumenti matematici scoprono schemi in miriadi di dati e poi trasformano i risultati nel linguaggio simbolico o nel linguaggio scritto ─ usare (ma forse non avrebbe successo…) l’espressione, da qualcuno proposta, «sintetizzatori di schemi antropoglossi». 

Il diritto guidato dall'intelligenza artificiale offre nuove risorse e comporta nuovi impegni per i giuristi, specialmente in relazione alla IA generativa.

Infatti, è evidente che chi usa questi strumenti, sebbene non possa avere la conoscenza che appartiene agli esperti del settore, dovrebbe comunque essere nella condizione di comprendere i meccanismi di funzionamento.

Fondamentale è comprendere quali sono gli scarti fra i criteri che si utilizzano quando ci si serve della sola intelligenza umana e quelli sulla base dei quali funzionano gli strumenti offertigli dalla IA.

Il modello giuridico che regge il cosiddetto AI Act europeo enfatizza, fra i suoi punti essenziali, un l’approccio antropocentrico alla IA e si preoccupa della compatibilità tra la libertà economica nella produzione e nel diffusione dei nuovi strumenti e il rispetto dei diritti fondamentali. In questa prospettiva, delinea i rischi accettabili e quelli inaccettabili.

Tuttavia, restano da definire concretamente i percorsi attraverso i quali gli enti (privati o pubblici) che svilupperanno i sistemi saranno in grado di comprendere per tempo se e come il loro impegno di risorse umane e economiche riceverà il lasciapassare dalle autorità preposte al controllo del settore.

Inoltre, rimane ardua la soluzione del problema della efficacia delle regole europee rispetto ai sistemi provenienti dall’esterno dell’Unione.

Occorrerà vedere, ancora, con quali diverse declinazioni le legislazioni nazionali specificheranno i contenuti delle regolamentazione europea.

In Italia, il disegno di legge sulla IA, in corso di approvazione, ribadisce il principio che le decisioni automatizzate devono essere sempre controllate dal decisore umano nei settori della salute, della lavoro e della giustizia. Prefigura una disciplina derogatoria per le attività di IA connesse alla sicurezza nazionale dalla normativa generale. Assegna la governance dell'IA ad Agi e ACN. Prevede un fondo per sostenere favorire in Italia la ricerca e l’innovazione in materia.

 Intanto, nel mercato, gli enormi interessi economici in campo possono condurre a situazioni che travalicano gli interessi degli utenti, particolarmente per quel che riguarda la protezione dei loro dati personali, che ─ va sempre ricordato ─ si realizza anzitutto attraverso la tecno-consapevolezza da parte degli utenti.

In questo ambito, in Italia, l’azione del Garante per la protezione dei dati personali andrebbe potenziata e resa più diffusamente conoscibile dal pubblico.

Gli strumenti della IA offrono sempre più rilevanti possibilità di utilizzo alla Pubblica amministrazione, che costituisce la sede nella quale la loro implementazione e i loro controllo possono essere ottimali.

Per altro verso, nello svolgimento delle professioni, gli strumenti di IA possiedono una forza performativa che deriva da una digitalizzazione delle rappresentazioni della realtà che incide della determinazione dei contenuti delle decisioni raggiunte (anche) tramite questi strumenti: per esempio, questo può produrre distorsioni nella interpretazione delle norme e, quindi, una dislocazione dei poteri normativi a agenti non legittimati.

 Inoltre, in vari modi gli strumenti della possono modificare i profili delle professioni intellettuali nei diversi settori giuridici, in che implica scelte deontologiche e regolatorie che non andrebbero lasciate ai singoli professionisti, ma esercitate dagli ordini professionali in relazione ai valori sociali ai quali si ispirano le professioni.

[1] Incontro del 4 marzo 2025 promosso dal Centro di ricerca sulla giustizia dei minori e della famiglia “Enzo Zappalà” dell’Università di Catania.

[2] R. T. Yadav, AI-Driven Digital Forensics. International Journal of Scientific Research & Engineering Trends, Vol. 10 (2024), Issue 4, pp. 1673-1681.

[3]European Commission. Ethics guidelines for trustworthy AI, 2019. https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai.

Lynn Hershman Leeson

Immagine: Lynn Hershman Leeson, Logic Paralyzes the Heart, fonte MOMENTA.